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Editorial 


Eigentlich sollte diese Ausgabe ganz anders aussehen: Mehr Artikel zum Schwer- 
punktthema „Tracking, Profiling, Werbung, Marketing“. Aber es kam — wie so oft im 
Leben — anders. Am 22. November 2016 konnten wir die zweite — und zum dama- 
ligen Zeitpunkt noch nicht veröffentlichte — Version des „Datenschutzanpassungs- 
und Umsetzungsgesetz EU (DSAnpUG-EU)“ leaken. Nur einen Tag später kam die 
geringfügig veränderte offizielle Version mit einer sehr kurzen Frist zur Stellung- 
nahme. Eine Darstellung der Entwicklung des BDSG-neu finden Sie im Artikel „Der 
holprige Weg zum BDSG-Nachfolger“. Auch unsere Pressemitteilungen und unsere 
Stellungnahme finden Sie aus aktuellem Anlass in dieser Ausgabe. 


Als „Ausgleich“ gibt es in dieser Ausgabe daher nur drei Artikel und eine Buchbe- 
sprechung zum Schwerpunktthema. Ein weiterer Artikel beschäftigt sich mit einem 
Beitrag von Mikael Krogerus und Hannes Grassegger, der quasi „wie eine Bombe“ 
in die Datenschutzwelt einschlug. Zumindest wurde der Beweis erbracht, dass Big 
Data ohne Datenschutz unsere Demokratie gefährdet. Ob Trump seine Wahl auch 
ohne die Methode des Psychologen Michal Kosinski gewonnen hätte, wird sich nicht 
mehr feststellen lassen. 


Wir wünschen Ihnen eine spannende und informative Lektüre. 
Frans Valenta & Werner Hülsmann 
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Claus Egan, Stefan Staub 


Den Umsatz durch Tracking in einem Jahr 


verzehnfacht! 


Wer würde denn dazu „Nein“ sagen 
wollen, noch dazu, wenn ein Werkzeug 
dafür sogar kostenlos angeboten wird! 

Doch bei aller Euphorie, die solche 
oder ähnliche Werbebotschaften der 
Trackinganbieter ausstrahlen, tut man 
gut daran, die Sach- von der Werbein- 
formation, die tatsächlichen Fähigkeiten 
der Werkzeuge, den wirklichen Nutzen 
für das eigene Webprojekt und auch ein 
mögliches Schadenpotential sorgfältig 
gegeneinander abzuwägen. Schaden 
kann dabei künftig nicht nur auf der Seite 
der Betroffenen - also der Kunden - ent- 
stehen, sondern nunmehr durch die EU- 
DSGVO! in erheblichem Umfang auch 
auf der Unternehmensseite. 

Datenschutzrechtliche Anforderungen 
sind hierbei nur ein Maßstab, ein anderer 
ist der effektive Nutzen bzw. Un-Nutzen 
für das Unternehmen selbst. 

Für den sorgfältigen Abgleich ist es 
erforderlich, die Mechanismen, die im 
Webtracking-Markt existieren, zu ken- 
nen, um ihre Auswirkungen beurteilen 
zu können. So sollte man sich zunächst 
vor Augen führen, dass dieser Markt 
nicht ein-, sondern mehrdimensional ist. 
Es gibt nicht nur eine Anbieter- und eine 
Nachfrager-Ebene, vielmehr kann man in 
mindestens fünf solcher Ebenen unter- 
scheiden: 


1. Die Hersteller-Ebene 


Es gibt mindestens mehrere Hundert 
Tracking-Technologie-Produkte am 
Markt, vom einfachen Seitenaufruf- 
zähler bis zum hochkomplexen Multi- 
funktionswerkzeug. Dementsprechend 
unterschiedlich ist auch der Preis: von 
(tatsächlich oder vermeintlich!) kosten- 
los bis zu jährlichen Lizenzkosten von 
mehreren Tausend Euro. 

Dabei konkurrieren die Anbieter von 
lizenzbasierten Systemen nicht nur mit 
dem Platzhirsch’ Google, sondern in- 
nerhalb des noch verbleibenden schma- 
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len Marktsegmentes auch heftig unterei- 
nander. 

Datenschutzaspekte werden künftig si- 
cherlich besonders durch die ‚privacy by 
design‘-Anforderungen der EU-DSGVO 
vorgegeben werden. Gerade die Herstel- 
ler sind zwar gefordert, eine datenschutz- 
konforme Konfiguration zu ermöglichen, 
sie werden das Risiko aber erfahrungsge- 
mäß weitgehend an die Anwender wei- 
terreichen. 


2. Die Werbevermarkter-Ebene 


Hier stehen große, multinational agie- 
rende Agenturen, die insgesamt sehr 
große Werbebudgets betreuen, im harten 
Wettbewerb zueinander. Selbst kleine 
Effizienzsteigerungen bedeuten für diese 
Agenturen nicht nur einen Wettbewerbs- 
vorteil, sondern haben durch die Größe 
der Budgets auch erhebliche Auswirkun- 
gen auf den Ertrag. 

Bei einigen dieser Anbieter verschwim- 
men die Grenzen zur Hersteller-Ebene, 
weil sie entweder eigene Systeme entwi- 
ckelt haben und diese (inzwischen) auch 
vermarkten (Beispiel: Arvato) oder als 
Hersteller von einem Werbevermarkter 
gekauft wurden (Beispiel: Urchin Soft- 
ware Corp. im Jahr 2005 durch Google 
Inc.). 


3. Die Agentur-Ebene 


Dies sind Web-Dienstleister, die Tra- 
cking als ‚Messinstrument‘ für das 
Online-Marketing der von ihnen betreu- 
ten Websites empfehlen oder sogar vor- 
schreiben. Dazu gehören nicht nur die 
klassischen Werbeagenturen, sondern 
z. B. auch sogenannte SEA°- oder SEO*- 
Dienstleister. 


4. Die Anwender-Ebene 


Dies sind die Website-Betreiber, die 
Tracking als ‚Messinstrument‘ für das 


Online-Marketing der eigenen Website 
nutzen. Im Gegensatz zur Werbever- 
markter-Ebene ist die Anwender-Ebene 
jedoch der Hauptadressat der Werbung 
der Hersteller-Ebene. 


5. Die Nutzer-Ebene 


Die Besucher der Website, deren Nut- 
zungsdaten erhoben und verarbeitet wer- 
den, also die (potentiellen) Kunden der 
Anwender-Ebene. 

Inwiefern der Nutzer bzw. der Betrof- 
fene von den zukünftigen Anforderungen 
des europäischen Datenschutzrechtes 
profitiert, muss sich in der praktischen 
Anwendung der EU-DSGVO und ihrer 
Durchsetzung noch zeigen. 

Dabei sind in den Ebenen 1 - 4 jeweils 
eigene ‚Gesetzmäßigkeiten‘ zu beachten: 


Mechanismen der Hersteller-Ebene 


Aus der Sicht der Hersteller geht es 
(bis auf ganz wenige Ausnahmen) haupt- 
sächlich 
° um den Zugang zu Nutzerdaten zur 
Profilbildung oder 
um Lizenzeinnahmen oder 
um die Nutzerdaten zur Profilbildung 
und Lizenzeinnahmen oder 
um die Steigerung der eigenen Linkpo- 
pularität. 


Um sich hier von Google oder den an- 
deren Mitbewerbern abheben zu können, 
müssen daher stets neue Features auf den 
Markt gebracht werden. Diese folgen da- 
bei sowohl den technischen Möglichkei- 
ten (Speicherplatz wird immer billiger, 
die Rechenleistung der Tracking-Server 
und die Netzkapazitäten nehmen zu), als 
auch den Anforderungen einzelner Kun- 
den. Sie werden aber — ganz unabhängig 
davon, ob diese vom Durchschnittsan- 
wender überhaupt gebraucht werden — 
als Must-have im Markt beworben und 
platziert. 
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Ein Beispiel: Viele Anwender betrach- 
ten die Tracking-Zahlen einmal wöchent- 
lich, monatlich oder noch seltener. Dabei 
bleibt es sogar meist nur beim Betrachten 
der Zahlen, d. h., es existiert beim An- 
wender kein implementierter Prozess, auf 
Grund dessen nach der Zahlenbetrach- 
tung Maßnahmen ergriffen werden. 

Moderne Tracker sind jedoch in der 
Lage, die Analyse-Daten in Echtzeit zur 
Verfügung zu stellen und deshalb wird 
„Realtime-Tracking“ als wichtige Eigen- 
schaft von den Anbietern hervorgehoben, 
deren Produkte über diese Möglichkeit 
inzwischen verfügen. 


Sonderfall Google 


Google ist nicht nur wegen seiner 
Marktdominanz und seiner Rolle so- 
wohl als Hersteller, als auch als Werbe- 
vermarkter ein Sonderfall. Google ist 
als Hersteller in der Vergangenheit auch 
nicht als Technologie-Treiber in Erschei- 
nung getreten, sondern hat Entwicklun- 
gen des Marktes dann rasch adaptiert, 
wenn diese die Nachfrage zu Lasten 
des eigenen Marktanteiles zu verändern 
drohten. 

Google bietet sein Analytics-Werkzeug 
ja nicht aus Großzügigkeit ohne Lizenz- 
gebühren an. Um im Wettbewerb der 
Suchmaschinen — besser: der (Suchma- 
schinen-)Werbevermarkter — die Nase 
vorn behalten zu können, sollte der 
Google-Besucher möglichst relevante 
Treffer zu seinem Suchbegriff erhalten. 
Je weniger individuell ein Suchbegriff 
ist, desto schwieriger wird es, das tref- 
fendste Ergebnis zu präsentieren (meint 
die Suche nach Kohl den Politiker oder 
das Gemüse?). Neben den Suchmaschi- 
nen-eigenen Bordmitteln wie Informa- 
tionsgewinnung aus bisherigen Suchan- 
fragen oder aus bekannten Vorlieben, die 
in (den insbesondere eigenen!) Sozialen 
Netzwerken publiziert wurden, gibt es 
noch die Möglichkeit, die Rückkehrzeit 
zu messen, nachdem die Suchmaschi- 
ne zur Suchtrefferseite verlassen wurde. 
Kehrt der Besucher nämlich nach sehr 
kurzer Zeit wieder zurück, liegt die Ver- 
mutung nahe, dass ihn das Ergebnis nicht 
sonderlich interessiert hat. 

Noch besser ist es da aber, wenn der 
Besucher auf der besuchten Seite weiter 
beobachtet werden kann! Hier kann dann 
auch gemessen werden, welche Detail- 
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seite wie lange betrachtet wurde und, 
wenn eine Zielseite ebenfalls mit Goog- 
le-Analytics getrackt wird, sogar ob ein 
externer Link verfolgt wurde. 

Google war durch seinen Marktanteil 
und die damit einhergehende Implemen- 
tation auf sehr vielen, insbesondere wich- 
tigen, Websites daher schon sehr früh in 
der Lage eine Customer-Journey abzu- 
bilden, hat aber beispielsweise dieses 
Feature nicht als Alleinstellungsmerkmal 
vermarktet. 

Vielmehr bietet Google-Analytics 
heute selbstverständlich auch eine Cus- 
tomer-Journey an, wobei Google — und 
das ist aus Datenschutzsicht besonders 
aufschlussreich — dazu selbst schreibt: 
„We analyzed millions of consumer in- 
teractions through Google Analytics ...“, 
wobei mit consumer interactions nicht 
die Suchanfragen auf Google gemeint 
sein können! 

Gegen die Marktmacht von Google 
müssen schon kräftige (technologische) 
Geschütze in Stellung gebracht werden. 
Solche werden dann beispielsweise Mar- 
keting-Automation, virtuelles Eyetra- 
cking, Customer-Journey oder Heatmaps 
genannt, um nur einige herauszugreifen. 

Auf die Sinnhaftigkeit solcher Mess- 
und Analysemethoden für die Anwender 
wird später noch eingegangen. In erster 
Linie sind das aber eben nur Produktei- 
genschaften, die das eigene vom Mitbe- 
werberangebot abhebt. 


Mechanismen der Werbevermarkter- 
Ebene 


Diese  Analytics-Markt-Teilnehmer 
sind eine treibende Kraft, wenn es dar- 
um geht, die Werkzeuge dahin weiter- 
zuentwickeln, individuellere Profile zu 
bilden, genauere Vorhersagen machen zu 
können, schnellere Ergebnisse liefern zu 
können oder einfach nur die Performance 
zu steigern. Denn auf Grund der Größe 
der Werbebudgets sind bereits kleinste 
prozentuale Verbesserungen im Ergebnis 
relevant. 

Wie groß der Effizienzdruck ist, lässt 
sich am Beispiel der Cookies ganz gut 
zeigen: Im Jahr 2010 haben nur ca. 3 % 
der Internetnutzer Cookies in ihrem 
Browser blockiert (zum Vergleich: 
04.2015 ca. 11%). Trotz dieses damals 
homöopathischen Anteils an Cookie- 
Verweigerern wurden (und werden!) Me- 


thoden wie Flash-Cookies, EverCookies 
oder Digital-Fingerprinting entwickelt 
und eingesetzt. 

Als im Februar 2013 angekündigt wur- 
de, dass der Firefox-Browser ab April 
2013 in der Grundeinstellung Cookies 
von Drittanbietern blockieren werde, 
reagierte die Werbebranche umgehend: 
„Diese Voreinstellung wäre ein nukle- 
arer Erstschlag gegen die Werbebran- 
che.“ 

Dabei muss man sich im Klaren darü- 
ber sein, dass die Werbevermarkter-Ebe- 
ne kein grundsätzliches Interesse daran 
hat, dass Werbung als solche wirkungs- 
voller wird; es geht hier lediglich um den 
Wettbewerb untereinander. Denn würde 
man durch entsprechende Metriken den 
Anteil ineffizienter Werbung aus dem 
Henry-Ford-Zitat „Ich weiß, die Hälfte 
meiner Werbung ist hinausgeworfenes 
Geld. Ich weiß nur nicht, welche Hälfte.“ 
auf NULL reduzieren können, würden 
sich die Werbebudgets weitgehend kom- 
pensationslos halbieren. Daran hat die 
Werbebranche kein wirkliches Interesse. 


Mechanismen der Agentur-Ebene 


Tracking wird in der Regel von den 
Agenturen nicht als Dienstleistung ver- 
kauft. Vielmehr wird oftmals beim tech- 
nischen Design der Site Google-Ana- 
lytics einfach mit eingebaut, weil „es ja 
kostenlos“ ist. 

Dort, wo Agenturen das Thema ‚„Tra- 
cking‘“ aktiv bewerben, bestehen häufig 
(verprovisionierte) Beziehungen zu ent- 
sprechenden Anbietern oder die Agentur 
profiliert sich über eine Google Analytics 
certified partner-Auszeichnung oder die 
Agentur nutzt solche Werkzeuge selbst 
intensiv für ihre Dienstleistung, z. B. 
SEA- oder SEO-Agenturen. 

Außerdem muss eine Agentur Zweier- 
lei beachten: Zum Einen würde sie sich 
den Zugang zu einem erheblichen Teil 
des Marktes selbst versperren, wenn sie 
aktiv Google-Analytics ablehnt und zum 
Anderen benötigt die Agentur, wenn sie 
Tracking-Analyse als Dienstleistung an- 
bietet, entsprechendes Know-how. Hier 
liegt es nahe, die Mitarbeiter auf das Pro- 
dukt zu schulen, das die größte Verbrei- 
tung im Markt hat. 

Ähnlich wie bei den Datenverarbei- 
tern im Auftrag wird sich in Zukunft 
auch mehr denn je zeigen, wer die An- 
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forderungen der EU-DSGVO so um- 
zusetzen weiß, dass er dem Anwender 
nicht nur datenschutzkonforme Rezep- 
te bietet, sondern mit ihm gemeinsam 
zielgerichtete Lösungen erarbeitet. 
Eine bloße Beratung lässt den Anwen- 
der nämlich im entscheidenden Mo- 
ment allein. 

Agenturen, deren Tagesgeschäft ja die 
Werbung ist, heulen erfahrungsgemäß 
gerne mit der Meute, d. h., sie springen 
auf die Werbephrasen der Hersteller auf, 
auch um zu zeigen, dass sie up to date 
sind. Dabei garantiert das Kopieren ei- 
ner Methode, die bei einem Großen an- 
geblich zum Erfolg geführt hat -— Nichts! 
Es sei nur an die Social-Media-Euphorie 
vor einigen Jahren erinnert, als große 
Agenturen den Trend der Zukunft prog- 
nostiziert haben und stolz verkündeten, 
dass Unternehmen wie VW oder P&G 
sich den neuen Medien zugewandt ha- 
ben und TV und Print dem Untergang 
geweiht seien. Das Gegenteil ist bisher 
zu beobachten!” 


Mechanismen der Anwender-Ebene 


Da die Anwender der Hauptadressat 
der Werbung der Anbieter sind, entsteht 
auf die Marketingabteilungen der An- 
wender ein entsprechender Einsatz- und 
Modernisierungsdruck, insbesondere 
wenn sich die Geschäftsführung auf einer 
Veranstaltung® das neueste Internetwis- 
sen geholt hat und den Marketingverant- 
wortlichen fragt: „Warum machen wir 
denn nicht ...“. 

Ebenso häufig wird Tracking zwar ein- 
gesetzt, aber nicht bzw. kaum ausgewer- 
tet, weil „es ja kostenlos ist, da schadet 
es nicht“. 

Ein gutes Beispiel dafür ist eine Eva- 
luation eines Trackingtools bei einem 
DAX-Unternehmen gegen das einge- 
setzte Google-Analytics. Dabei wurde 
festgestellt, dass das neue Programm 
nur einen Bruchteil der Seitenaufru- 
fe zählte und daher nicht infrage kam. 
Bei genauerer Betrachtung stellte sich 
jedoch heraus, dass der auf der Seite 
implementierte Börsenticker durch eine 
fehlerhafte Einbindung von Google- 
Analytics jedesmal einen neuen Sei- 
tenaufruf erzeugte, selbst wenn nur der 
Ticker aktualisiert wurde, die tatsächli- 
che Anzahl der Seitenaufrufe also bisher 
viel zu hoch gemessen wurde. Das woll- 
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te man aber dem Vorstand dann doch lie- 
ber nicht erklären! 

Ein anderes Problem ist darin zu se- 
hen, dass die Budgets für das Web- 
Tracking angesichts der vermeintlich 
kostenlosen Angebote oftmals viel zu 
klein sind, um brauchbare Ergebnisse zu 
liefern. Deswegen sind die Marketing- 
abteilungen gut beraten, wenn sie der 
Geschäftsleitungsebene ein schlüssiges 
Konzept vorlegen. 


Was Anwender beim Tracking- 
Konzept beachten sollten 


Tracking ist ein Messinstrument, das 
ein Unternehmen dann zwingend nutzen 
sollte, wenn das Geschäftsmodell Inter- 
net-getrieben ist. 

Dazu muss das Tracking in das Ge- 
samt-Webmarketing-Konzept sorgfältig 
eingebunden werden, d. h., vor dem Ein- 
satz eines Tracking-Tools ist zu prüfen, 
welche Effekte gemessen werden sollen 
und wie auf die Messungen reagiert 
werden kann. 

Ein ausschließlich im Internet agie- 
rendes Unternehmen oder ein Unterneh- 
men, das signifikante Umsätze über das 
Internet generiert, hat gänzlich andere 
Anforderungen an die Website-Metrik 
als ein Unternehmen, das nur eine Web- 
Visitenkarte betreibt. 

In einem übertragenen Bild: In der 
Formel 1 erfassen hunderte Sensoren 
permanent Daten und senden sie an die 
Box. Dort werden diese nicht nur von 
einer Software in Echtzeit ausgewertet, 
sondern die Ergebnisse darüber hinaus 
noch von mehreren Technikern parallel 
beobachtet und bewertet. 

Auch wenn Websites bei weitem nicht 
so komplex sind wie Formel-1-Boliden, 
es also meist möglich ist, Entscheidungen 
von der Software treffen zu lassen, ändert 
dies wenig an den einzuplanenden Res- 
sourcen. 

So kann ich bei einer Online-Zeitung 
ein Metrik-Tool einsetzen, das das Inter- 
esse der Leser an einem Startseiten-Tea- 
ser eines Artikels misst und den Teaser 
nach unten verschiebt oder gänzlich ent- 
fernt, wenn die /Interessiert-mich-Ouote 
unter einen bestimmten Wert fällt. Da- 
durch kann ein Online-Redakteur deut- 
lich entlastet werden. Es wird aber wei- 
terhin ein neuer Artikel für die entstehen- 
de Teaser-Lücke benötigt! 


Kein Tracking ohne Konzept 


Nur wenn die Auswertung von Besu- 
cherzahlen oder deren Bewegungen auf 
der Website dazu führen, dass 
« an der Website Veränderungen vorge- 

nommen werden (Performance- bzw. 

Usability-Verbesserungen) oder 
° Aktionen des Website-Besuchers aus- 

gewertet werden oder 
° die Website sich auf Grund der Mes- 

sungen automatisch selbst ändern kann 
ist Tracking überhaupt notwendig. In all 
diesen Fällen ist der Aufwand aber nicht 
mit dem Tracking beendet, sondern er 
ist bereits vorher nötig (Fähigkeit der 
Selbststeuerung) oder ist nach dem Mes- 
sen zu leisten. 


Kostenloses Tracking gibt es nicht! 


Als Unternehmer sollte man sich 
auch davor hüten, selbst dem Geiz-ist- 
geil-Werbeslogan zu erliegen: Kein Un- 
ternehmen? hat etwas zu verschenken. 
Auch vordergründig kostenlose Tools 
wie Google-Analytics haben ihren Preis: 
Hier wird mit dem Öl des 21. Jahrhun- 
derts bezahlt — den eigenen Daten! 

Außerdem wird bei kostenlos gerne 
übersehen: Die Kosten entstehen über- 
wiegend vor dem Bildschirm! 

Je wichtiger das Internet für ein Ge- 
schäftsmodell ist, 

° desto qualifizierter muss die Person 
sein, die die Analysen durchführt, 

« desto umfangreicher muss ein Ana- 
lysetool eingerichtet und abgestimmt 
werden, 

« desto öfter und intensiver müssen die 
Ergebnisse betrachtet und bewertet 
werden. 

Mit Einarbeitung, Einrichtung, Fortbil- 

dung und Durchführung kommen da 

schnell ein bis drei Stunden pro Woche 
zusammen (bei großen Projekten ist das 
ein Vollzeitjob). Bei (nur!) 40 EUR/Stun- 

de sind das schon Kosten zwischen 2.000 

und 6.000 EUR/Jahr! 

Dabei muss zusätzlich berücksichtigt 
werden, dass bei nur geringem wöchent- 
lichem Zeitaufwand die Effizienz leidet: 
Man muss sich jedes Mal wieder in das 
Projekt hinein denken und in das Werk- 
zeug einarbeiten. Ist es zusätzlich noch 
kompliziert, das Tool zu parametrisieren 
oder die Ergebnisse auszuwerten, erhö- 
hen sich die Personalkosten rasch. 
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Nicht nur auf das Kosten-Nutzen- 
Verhältnis kommt es an 


Selbst bei kleinen Projekten kommen 
also ein paar tausend Euro zusammen, 
die sich durch den Einsatz des Analyse- 
tools amortisieren sollten. Erreicht die 
Maßnahme das Ziel (Aufmerksamkeit, 
Bestellung, Kontakt)? 

So könnte beispielsweise im Bestell- 
prozess erkannt werden, dass ein er- 
heblicher Teil der Besucher zwar den 
Warenkorb gefüllt hat, die Seite aber 
wieder verlässt, nachdem die Zahlungs- 
konditionen gezeigt wurden. Hier könnte 
nun durch eine bisher nicht angebotene 
Zahlungsart die Anzahl der Bestellabbrü- 
che signifikant vermindert werden. In der 
Praxis zeigt sich tatsächlich häufig, dass 
bereits mit kleinen Änderungen erhebli- 
che Wirkungen erzielt werden können. 

Nicht immer lässt sich die Frage der 
Amortisation jedoch so einfach beant- 
worten wie beim Internet-Bestellprozess. 
Je früher der Kontakt eines potentiellen 
Kunden mit der Website stattfindet oder je 
intensiver eine Beratung nötig ist — z. B. 
im B-to-B-Umfeld — desto schwieriger 
wird die Erfolgseinschätzung oder gar 
-messung. Dann muss man sich aber im 
Vorhinein des Risikos bewusst sein, ge- 
gebenenfalls eine Maßnahme „zum Fens- 
ter hinausgeschmissen zu haben“ (um im 
Bild von Henry Ford zu bleiben). Es nicht 
versucht zu haben, wäre aber der größere 
Verlust, es sei denn, man kann oder will 
sich das Risiko nicht leisten. 

Darum ist es so wichtig, bereits vor 
dem Einsatz eine klare Strategie zu haben 
und die erforderlichen Ressourcen bereit 
zu stellen. Weder macht man einen nicht 
konkurrenzfähigen Motor durch eine Ver- 
doppelung der Sensorenzahl zum Sieger, 
noch kann der leistungsfähigste Bolide ge- 
winnen, wenn im Cockpit und an der Box 
nur Pfeifen sitzen. Insofern unterscheidet 
sich Web-Analyse auch nicht von einer 
Werbekampagne: Wer nicht in der Lage 
ist, Fernsehwerbung zu schalten, braucht 
kein Filmskript erstellen lassen! 


Das Nutzen-Schaden-Verhältnis nicht 
außer Acht lassen 


Gerne wird auch der Fehler gemacht, 
dass nur die unmittelbaren Lizenz- und 
Personalkosten bzw. Erträge (durch eine 
Steigerung des Bestelleingangs) betrach- 
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tet werden. Es gibt jedoch noch andere 

beeinflussende Faktoren, beispielsweise: 

e Welcher Aufwand entsteht durch zu- 
sätzliche Datenschutz-Anfragen? 

° Wie hoch ist das Risiko, abgemahnt zu 
werden? 

° Sind Bußgelder aufgrund datenschutz- 
rechtlich unsauberer Implementierung 
zu erwarten? 

e Welcher Imageschaden kann entste- 
hen? 

« Wie viele Kunden gehen verloren, weil 
sie sich ausspioniert fühlen? 


Gerade die letzte Frage ist deswegen 
interessant, weil sie die Grenzen der 
Online-Metrik aufzeigt: Es kann zwar 
gemessen werden, wie sich der Besucher 
auf der Website bewegt, es bleibt aber fast 
immer im Dunkeln, warum er die Seite 
verlässt. Gerne wird von Online-Metrik- 
Fetischisten ins Feld geführt wird, es sei 
wichtig, Besucher in Echtzeit identifizie- 
ren zu können. Denn, so die Argumenta- 
tion, falls dieser eine konkrete Besuch zu 
einem erheblichen Umsatz führt, könne 
man daraus Maßnahmen für die Zukunft 
ableiten. Auf die Frage, wie man einen 
erheblichen Umsatzverlust, der durch die 
Website entsteht misst, bekommt man 
dann aber regelmäßig keine Antwort. 


Sich nicht durch Werbebotschaften 
blenden lassen 


Eine Reihe von Tracking-Tool-Fea- 
tures sind auf den ersten Blick vielver- 
sprechend, leisten aber in der Praxis nicht 
das, was man davon erwartet hatte. 

Ein Marketing-Automation-Tool au- 
tomatisiert nicht das Marketing, ersetzt 
nicht den Vertrieb und führt nicht auto- 
matisch zu mehr Ertrag. Dabei spricht 
nichts dagegen, die Vertriebsrelevanz 
einer Kontaktanfrage über die Website 
zu messen, um schnell auf jene reagieren 
zu können, die mit größerer Wahrschein- 
lichkeit zu einem Verkauf führen. 

Vielleicht wäre es aber auch hilfreich, 
nicht bloß die pure Anzahl der durch die 
Website produzierten Leads zu steigern, 
sondern die Seite so zu gestalten, dass 
möglichst nur wirkliche Interessenten 
den Kontakt suchen. 

Es mag ja zutreffend sein, dass Mausbe- 
wegungen beim Lesen einer Website mit 
den Augenbewegungen des Lesers korre- 
lieren. Aber wie viele Menschen kennen 


Sie, die beim Besuch von Internetseiten 
die Maus als Lesehilfe benutzen? 

Wenn Eyetracking für ein Webprojekt 
wirklich wichtig ist, wird man um eine 
sichere Ermittlung (mit entsprechenden 
Kosten) nicht herum kommen. Umge- 
kehrt: Wenn diese Kosten zu hoch sind, 
ist Eyetracking nicht nötig, weil das Pro- 
jekt nicht wichtig ist! 

Eine der häufigsten Falschaussagen auf 
Websites lautet: „Wir nehmen den Schutz 
Ihrer Daten besonders ernst.““. Gleichzei- 
tig wird — ob absichtlich, durch Unkennt- 
nis oder durch Bequemlichkeit — der Kö- 
nig Kunde bespitzelt, was das Zeug hält. 

Man stelle sich das Bild vor: Ein Mar- 
ketingleiter besucht eine Messe und wird 
vom Eintritt an über verschiedene Messe- 
stände hinweg von einer Person verfolgt, 
die ihm bei jedem Gespräch schweigend 
über die Schulter schaut. Und wenn er die 
Person schließlich genervt fragt, was sie 
denn da tue, zur Antwort erhält: Custo- 
mer-Journey! 

Apropos Datenschutz und Tracking: 
manch deutscher bzw. europäischer An- 
bieter präsentiert sein Angebot gerne 
stolz als „datenschutzkonform nach deut- 
schem BDSG“, „... nach EU-Recht“ oder 
„Geprüft durch Hamburger Datenschutz- 
behörde“, um sich von der Datenkrake 
Google positiv abzuheben - verletzt aber 
selbst einfachste Datenschutzregeln. Wa- 
rum sollte man ausgerechnet solchen An- 
bietern seine Daten und die seiner Kun- 
den anvertrauen? 


1 Europäische Datenschutz- 
Grundverordnung 


2 mit einem Marktanteil von über 80 % 
3 Search Engine Advertising 

4 Search Engine Optimization 
5 


https://www.google.com/analytics/ 
resources/gms-online.html 


6 http://www.zdnet.de/88148884/firefox- 
blockiert-kunftig-cookies-von-drittanbie- 
tern/ 


7 http://www.wiwo.de/unternehmen/handel/ 
werbesprech-milliarden-zum-fenster- 
hinauswerfen/14438072.html 


8  http://www.bieg-hessen.de/blog/ 
online-marketing/sanjay-sauldie-rockt- 
mit-seiner-keynote-die-preisverleihung- 
des-hessischen-website-awards-in-der- 
ihk-frankfurt-am-main/ 

9 Werkzeuge wie PIWIK aus der Open- 
Source-Community sind keine Angebote 
von Unternehmen! Wenn Sie es nutzen 
und nicht sponsern, hat eben ein Anderer 
die Entwicklungskosten für Sie bezahlt. 
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Frans Valenta 


Was hilft gegen Online-Datensammler”? 


Angela Merkel verkündete am 16. 
November 2016 „Das Prinzip der Da- 
tensparsamkeit kann nicht die Richt- 
schnur sein für die neuen Produkte“. 
Sigmar Gabriel forderte eine Wende 
zu mehr „Datensouveränität“ — in der 
Neusprech-Übersetzung: Verzicht auf 
Datenschutz. 

Die fehlenden Reaktionen von vielen 
betroffenen Politikerinnen und Politi- 
kern! auf das Bekanntwerden der Nut- 
zer-Datenweitergabe bei dem Browser- 
AddOn WOT (Web Of Trust)’ zeigt, dass 
Datenschutz bei ihnen als unwichtig be- 
trachtet oder gar als „Handelshemmnis“ 
eingestuft wird. Die enge Verflechtung 
von Wirtschaft und Politik führt dazu, 
dass die Profit bringende Ausspähung 
der Bürger vor den Schutz der Privat- 
sphäre gestellt und die Erfassung des 
Web-Nutzerverhaltens zur Kategorie 
„Neue Geschäftsmodelle im Internet“ 
deklariert wird. In dem NDR-Beitrag 
„Nackt im Netz‘, der die kommerzielle 
WOT-Datenweitergabe öffentlich ge- 
macht hat, wird empfohlen, das AddOn 
direkt zu löschen. 

„Daten sind die Rohstoffe des 21. 
Jahrhunderts“ war eine der zentralen 
Aussagen von Kanzlerin Merkel kurz 
vor der Cebit 2015*. Mit Daten sollen 
sich demnach neue Einnahmequel- 
len erschließen lassen. Dabei wird im 
„Neuland“ Internet mit Daten als Ware 
schon eifrig experimentiert. Vor allem 
die Werbeindustrie möchte möglichst 
viel über die Internetnutzer erfahren, um 
„zielgerichtet“ Werbung platzieren zu 
können. Daher gibt es inzwischen fast 
keine einzige Webseite mehr, die nicht 
zumindest Analysetools wie Piwik® ein- 
setzt, um herauszufinden, wofür sich 
mögliche Kunden im Internet interes- 
sierten. Das quelloffene Piwik lässt sich 
bei entsprechender Konfiguration daten- 
schutzkonform einsetzen. Wer Google 
Analytics einsetzt, handelt nach dem 
Grundsatz „Der Zweck heiligt die Mit- 
tel‘. Da Google nichts zu verschenken 
hat, möchte der Konzern an den Daten 
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partizipieren und somit ist es praktisch 
unmöglich, dieses Instrument nach deut- 
schen Datenschutzregeln so einzuset- 
zen, dass die Persönlichkeitsrechte des 
Webnutzers gewahrt werden’. 

Natürlich möchte kein Internet-Nutzer 
bespitzelt werden. Deswegen benutzen 
die Werbe-Dienstleister möglichst un- 
auffällige Werkzeuge - z. B. unsichtbare 
Minibilder (Zählpixel), Cookies oder 
Javascript-Tags. Gegen Zählpixel gibt 
es zumindest bei HTML-E-Mails ein- 
fache Möglichkeiten zum Schutz: Die 
Mail wird online abgerufen aber off- 
line gelesen, die HTML-Funktion des 
E-Mail-Programms wird abgeschaltet 
oder die Darstellung externer Grafi- 
ken wird deaktiviert. Cookies sind lei- 
der in manchen Fällen nicht so einfach 
zu umgehen, denn einige Webseiten- 
Betreiber verwehren dann den Interes- 
senten den Zugang — wie Springer mit 
bild.de. Der Verlag nutzt die Beliebtheit 
des Portals aus, um die Leser zu zwin- 
gen, ausgespäht zu werden. Nutzer, die 
Anti-Tracking-Tools wie Ghostery oder 
Adblock Plus verwenden, bekommen 
eine Seite zu sehen, in der sie aufgefor- 
dert werden, Adblocker zu deaktivieren. 
Anzeigenkunden können demnach hier 
sicher sein, dass ihre Scripts und Wer- 


... [7 un diice 


mros zuEnDmLWE werren waren nanraer 


m „in [| “2 w 


4 BikDpbas NEWS POLITIK GELD UNTERHALTUNG SPORT BUNDESLIGA LIFESTYLE RAIGEBER REISE AUTO DHGINAL SPIELE REG WIDEo Qi 


Mit aktiviertem Adblocker können Sie 


BILD.de nicht mehr besuchen 


‚Jetzt Adblocher denktivieren 


BL.Dymart abonnieren 


Warum sehe ich BILD.de nicht? 


Se sehen diese Seite. weil Sie einen Adbiocker eingeschaltet halben. 


Deaktivieren Sie diesen bitte für BILD.de, um unsere Artikel wieder Jesen zu 


können. 


BILD bietet Innen Nachnichten rund um che Uhr, Unsere 500 Reporter berichten 


für Sie aus aller Weit. Um das zu ermöglichen, sind wir auch auf 
Wierbeeinnahmen angewiesen. 


bebanner bei den Bild-Lesern ankom- 
men. Ghostery erfüllt zwar den Zweck 
der Blockier-Funktion und macht die 
Tracking-Aktionen durch Angabe der 
informationshungrigen Firmen und 
Netzwerke transparent, allerdings stellt 
der Hersteller seine Datenbank auch der 
Werbewirtschaft zur Verfügung?, wes- 
halb von einer Verwendung abgeraten 


Ni a n® 5 


»ping 
Such u A EB N ge Te} % 


S Audienee-Seienee ® 


ChartBeat ® 
ws Gritee ® 
BDeouble6tiek 
\ROS Ware ® 


emetrig 


Bitte Seite neu laden zur Anzeige der Änderungen. 


Blockleren anhalten Whitelist-Seite ee 


wird. Eine Alternative wäre Adblock 
Plus, allerdings wird die Entwicklung 
des Programms aus der vom Oberlan- 
desgericht Köln für illegal erklärten 
Acceptable-Ads-Initiative finanziert’. 
Noscript blockiert aktive 
Inhalte einer Webseite 
wie Java-Applets, Ja- 
vaScript, Adobe Flash, 
Microsoft Silverlightund 
soll so gewährleisten, 
dass zumindest ein Teil 
der Tracking-Versuche 
scheitert. Mit JavaScript 
ist durch das Sammeln 
von System-Konfigura- 
tionen wie installierte 
Plugins und Schriftarten 
eine eindeutige Zuord- 
nung des Rechners mög- 
lich  (Browser-Finger- 
printing)". Ein Problem: 
Viele interaktive und/ 
oder animierte HTMLS- 


o 
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Seiten sind ohne JavaScript praktisch 
nicht darstellbar. Immerhin gibt es bei 
den Werkzeugen zur Tracking-Blockade 
auch eine vertrauenswürdigere Open- 
Source-Software: Disconnect'!. Sie ist 
für alle Betriebssystem-Plattformen 
und fast alle Browser verfügbar. Die 
Entwicklungs-Finanzierung erfolgt über 
freiwillige Spenden. 


a n® 3 


Shop 


, DISCONNECT 


“| Advertising 
Analytics 

®| Social 

e Content 


Whitelist site Visualize page 


)SBE 
@ Show counter Cap counter 


= me 


Bandwidth 
saved saved 


©) Get Mobile Protection 


Die für das Identifizieren und Ver- 
folgen von Nutzern gesetzten Cookies 
lassen sich mit Abblockern nicht aus- 
nahmslos ausfiltern, aber man kann sie 
mit spezialisierten Programmen auf- 
listen und manuell löschen. Auf Mac- 
Computern stellt „Cookie“? dazu nütz- 
liche Funktionen bereit. Das für Safari 
und Firefox konzipierte eigenständige 
Programm zeigt auf einer Webseite 
erfasste Cookies mit Pfad, Namen, Si- 
cherheit, Verfallsdatum und Inhalt an. 
Tracking-Cookies werden rot markiert 
dargestellt. Nützliche Cookies, die 
das lästige Abtippen immer wieder- 
kehrender Werte ersparen, können als 
Favoriten deklariert werden und wer- 
den vom Löschen ausgenommen. Im 
Prinzip bietet fast jeder Browser die 
Möglichkeit, Cookies aufzulisten und 
zu löschen — wenngleich nicht immer 
besonders detailreich und komfortabel. 
Plattformübergreifend (Mac, Linux, 
Windows, iOS und Android) gibt es 
als Ergänzung für Firefox und Chrome 
„Cookie Manager“. 
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Einstellungen Cookies Flash Cookies Silverlight Datenbanken 


Cookie 


v ® Webseite 


A Name 


Bone ec) » ndr.de (3) 
@& Ale o- » netzpolitik.org (1) 
@ Safari 4 » netzwelt.de (4) 
® Firefox &®cr » noscript.net (1) 
E » notebooksbilliger.de (10) 
® )» panasonic.de (3) (2) 
® > paypal.com (25) (2) 


» pixelio.de (2) 
» shazam.com (2) 


wspiegel.de (6) 
‚spiegel.de spVcD... 
‚spiegel.de spVeTi... 
www.spiegel.de fontaw... 
www.spiegel.de misobold 
www.spiegel.de spiegel... 
www.spiegel.de spiegel... 


» startpage.com (1) 
® »stern.de (6) (1) 
& » sueddeutsche.de (1) 
» theguardian.com {4) 


‚washingtonpost.com client_r... 
‚washingtonpost.com de 
‚washingtonpost.com devicet... 
‚washingtonpost.com osfam 
‚washingtonpost.com rpldO 
‚washingtonpost.com rpldi 
‚washingtonpost.com s_pers 
‚washingtonpost.com s_vi 
www.washingtonpo... iabc 
» welt.de (2) 
» wetteronline.de (11) (3) 
» wikipedia.org (8) 
® »youtube.com (4) (1) 
» zeit.de (1) 


Alle Nicht-Favoriten löschen Alle Tracking Cookies entfernen 


Entfernen 


Pfad Sicher Verfällt Inhalt Browser User 
! NEIN 31.01.17... 12-3%3B0-3 Safari 
2 NEIN 02.12.16... 1 Safari 
Ä NEIN 04.12.16... 1 Safari 
! NEIN 04.12.16... 1 Safari 
! NEIN 04.12.16... 1 Safari 
Ä NEIN 04.12.16... 1 Safari 


! NEIN 01.12.16... 0 Safari 
/ NEIN 01.12.18... Safari 
Ä NEIN 01.01.17... 0 Safari 
/ NEIN 01.01.17... 0 Safari 
N. NEIN 30.05.17... 1:12] Safari 
/ NEIN 01.12.16... O:t-ipcon... Safari 
4 NEIN 01.12.19... %20s_nr... Safari 
/ NEIN 01.12.18... [CS]v1l2C... Safari 
'f NEIN 30.11.16... Safari 


® = Tracking Cookie %= Favorit 


ee. Erweiterter Cookie Manager 
GE 2 Cookiesüberwachen Search Optionen Cookie Details 
Erstellungszeit Fri Dac 02 2016 23:39:52 
nn ee = 
r ER = nn ‚welt.de 
.spiegel.de Name Wert 
eikd.at mdr_browser desktop Name ar 
geid.wbtrk.net utag_ main _v_kd:015801b19c06001826061461649605052001 
H00gle.com WitIV?.c empty Wert v_id:0158c1b19c06001a200614 
responder.wt-safetag.com 61049605052001400100bd0$_sn 
alkau :1$_88:1$_pn:1%3Bexp- 
spiegel.de : 
stern.de 
sueddeutsche.de 
tealiumig.com tpOnty tue Ofalse 
technical-service.net BE oO 
track. wt-eu02.net 
Besen isSession tue Ofaise 
welt.de 
BNBORENSE Verfältam Datum | 12/02/ 2017 |7 
www.n-tv.de 
wunw.spiegel.de = EIER] 
Fr 
By 
= bo m + 
2 EEIIEI = 
srowiabee 2 Lu) x 2 o| P 2) [?) %| {or 


Die Darstellung von Cookie und Cookie Manager im Vergleich 


Das „Safebrowsing“ von Google soll 
Endanwender vor Phishing und Mal- 
ware schützen. Es ist in Firefox, Chro- 
me und Safari implementiert. Das Tool 
vergleicht die übertragenen Web-Ad- 
ressen mit einer aktuelle Liste, zu der 
eine Verbindung mit Google aufgebaut 
wird. Wer sicher gehen möchte, dass 
keine privaten Daten nach außen kom- 
muniziert werden, sollte diese Funktion 
abschalten. Auf der Webseite von Digi- 
talcourage gibt es dazu ausführliche Be- 
schreibungen'’. 


Fast alle Tracking-Blocker verhindern 
innerhalb von Browsern, dass Daten er- 
fasst und „nach Hause” gesendet wer- 
den. Aber was ist mit anderen Program- 
men, die Daten sammeln und weiterge- 
ben? Microsoft hat mit seinem Betriebs- 
system Windows 10 seinen Anwendern 
per Standardeinstellung eine umfassen- 
de Datenübertragung verordnet'*, die in 
vielen Fällen nicht erforderlich ist und 
deaktiviert werden sollte. Auch Apple 
verzichtet nicht darauf, Daten zu sam- 
meln. Seit dem Betriebssystem Mac 
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Deaktivierte ausblenden Neu Bearbeiten Löschen 


Regeln Prozess 
Ü Ale Regeln @ Firefox 
©] Letzte 24 Stunden 
© Temporäre Regeln 5) ® !psaud 


© Unbestätigte Regeln 


Little Snitch Konfiguration 
N mc 
uU cd 
Änderungen verhindern Einstellungen 


a ®e Ein Regel 


® Erlaube ausgehende Verbindungen zu... 


Q w 


Suchen Info 


- gamed 
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/System/Library/PrivateFrameworks/ 
GameCenterFoundation.framework/Versions/ 
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2) Hintergrundprozesse MM GoogleSoftwareupda... % ® Verbiete alle ausgehenden Verbindungen Verbindungen 
& Geschützte Regeln 8 heipd @ Erlaube ausgehende TCP Verbindun... & Prozesseigentümer: & Ich 
22. Globale Regeln IMRemoteURLConne... @ Erlaube ausgehende Verbindungen... & 
N ksfetch % @® Verbiete alle ausgehenden Verbindungen 


% Systemregeln 
@&- Eingehende Verbindungen 


Vorschläge 
© Anmeldeverbindungen 
© Silent-Modus Verbin... 
© Abgelaufene Temporäre R... 
© Ungültige Regeln © 
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 locationd 
® Mail 


Profile 
# In allen Profilen wirksam 


8 mDNSResponder 


8 mount _nfs 
EM mount_url 
A nbagent 


 netsession_mac 
8 nsurisessiond 


+ Ba cı] 


iTunes 


möchte sich zu itunes.apple.com auf Port 443 (https) verbinden 


_) Alle Verbindungen 
_)Nur Port 443 (https) 
Nur itunes.apple.com 
© Nur itunes.apple.com und Port 443 (https) 


2 Verbieten 


OS X 10.8 werden im Sekundentakt 
im Hintergrund für das Game-Center 
bestimmte Daten (gamed) an Apple- 
Server geschickt, unabhängig davon, ob 
der Dienst in Anspruch genommen wird 
oder nicht'°. Mit einem Programm wie 
Little Snitch kann eine derartige Akti- 
vität aufgespürt und nach vordefinier- 
ten Regeln ohne Beeinträchtigung der 
Funktionalität abgeschaltet werden’. 
Leider gibt es für Windows, Linux, i0S 
und Android keine vergleichbar komfor- 
tablen Lösungen. In der Windows-Welt 
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® V Verbiete ausgehende Verbindungen... 


® V Verbiete ausgehende Verbindungen... 


_ Notizen Hr 


} © Verbiete alle ausgehenden Verbind... 


= ® Little Snitch Agent @ Erlaube ausgehende Verbindungen... & 


% @ Erlaube alle ausgehenden Verbindungen 


Am 26.10.2016 hat gamed versucht 
eine Verbindung zu 17.173.254.222 auf 
Port 16384 (connected) herzustellen. 
Die Anfrage wurde aus einem 
Verbindungsalarm heraus verboten. 


® ® Erlaube ausgehende Verbindungen zu... 


& @® Erlaube ausgehende Verbindungen zu... 
@ Erlaube ausgehende TCP Verbindunge... 
@ Erlaube ausgehende TCP Verbindunge... 
@ Erlaube ausgehende TCP Verbindunge... 
® Erlaube ausgehende TCP Verbindunge... 
® Erlaube ausgehende TCP Verbindunge... 
@ Erlaube ausgehende TCP Verbindunge... 
® Erlaube ausgehende TCP Verbindunge... 


Hmm C 


© ( 


87 Regeln 


werden Comodo- 
Firewall, ZoneAl- 
arm und Windows 
10 Firewall Control 
wohl noch am nächs- 
ten an die Leistungs- 
fähigkeit von Little 
Snitch herankommen. 
Für Linux-Anwender 
käme Douane als Al- 
ternative in Betracht. 
Gerade für Android-Nutzer wäre ein ver- 
gleichbares Tool für den Online-Betrieb 
sehr nützlich. Leider sind die im Goog- 
le PlayStore dazu angebotenen Apps 
nur rudimentär geeignet, ausgehende 
Verbindungen zu kontrollieren. Viele 
Apps beinhalten vorinstallierte Google- 
Dienste, z. B. das GPS-Tracking oder 
die Sprach-Eingabe. Alle Informationen 
werden von Google aufgezeichnet und 
können im Google-Konto unter „Meine 
Aktivitäten“ eingesehen werden. Bei der 
Benutzung von Navigationsprogram- 


® Erlaube ausgehende Verbindungen via... 
® Eriaube alle ausgehenden Verbindungen & 
@ Erlaube alle ausgehenden Verbindungen & 
® Erlaube alle ausgehenden Verbindungen & 
@® Erlaube ausgehende Verbindungen zu... 

® Erlaube alle ausgehenden Verbindungen 
@® Verbiete alle ausgehenden Verbindungen 
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men weiss auch Google, wo sich das 
Smartphone zu welcher Zeit befindet. 
Bewegungsprofile werden visuell dar- 
gestellt. Sprachanfragen bei der Suche 
im Chrome-Browser oder Diktate in 
Textverarbeitungsprogrammen werden 
als Audiodateien gespeichert. Und auch 
Suchanfragen im Browser oder Listen 
angeschauter YouTube-Filme sind de- 
tailliert rekonstruierbar. 

Google stellt zur Zeit ca. 2,4 Millionen 
Apps im PlayStore zur Verfügung’. Viele 
Apps kosten noch nicht einmal 10,- Euro 
und es gibt eine Riesenauswahl kosten- 
loser Programme. Da stellt sich die Fra- 
ge, wie die Entwicklung und der Vertrieb 
finanziert wird. Die Antwort: Werbung 
und Daten. Die kostenlosen Apps blen- 
den in der Mehrzahl zum Teil nervige 
Werbebanner ein. Das Programm bietet 
ein Upgrade zu einer kostenpflichtigen 
werbefreien Version an. Ob mit oder ohne 
Werbung - eine erschreckend hohe Zahl 
an Apps sammelt Daten und übermittelt 
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Google Übersetzer 


benötigt Zugriff auf 
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Mikrofon 
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Google Play 


sie zum Teil an Dritte, wie aus einer Un- 
tersuchung von 101 beliebten Apps durch 
das Wallstreet Journal hervorgeht'*. Vor 
der Installation von Apps gibt es seitens 
Google zwar Hinweise, auf welche Daten 
die Anwendungen auf dem Smartphone 
zugreifen, aber kaum ein Nutzer macht 
sich wirklich Gedanken darüber, welche 
Auswirkungen eine Zustimmung hat. 
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Screenshot einer Tabelle aus der Untersuchung 
des Wallstreet Journals 
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Auch wenn nicht alle Hersteller von 
ihren Möglichkeiten gebrauch machen, 
„könnten 35,97 Prozent den Aufent- 
haltsort des Nutzers feststellen, wäh- 
rend sie geöffnet sind. Bei 13,46 Prozent 
ließe sich die individuelle Geräte-ID 
hochladen, zum möglichen Anlegen ei- 
nes Verhaltensprofils über mehrere Apps 
hinweg. 9,14 Prozent der Apps könnten 
Kontakte auslesen, 9,91 Prozent die Te- 
lefonnummer auslesen und auf Drittan- 
bieter-Server hochladen, 6,43 Prozent 
die E-Mail Adresse hochladen und 6,65 
Prozent den Browser-Verlauf auslesen“ 
geht aus einer Studie von Bitdefender 
hervor'”. Das Unternehmen bietet Nut- 
zern die kostenlose App „Clueful‘“” an, 
die anzeigt, wie die auf dem Smartpho- 
ne installierten Programme mit daten- 
schutzrelevanten Informationen umge- 
hen. Die Software gab es auch schon mal 
für iOS, allerdings wurde sie von Apple 
aus dem AppStore entfernt — möglicher- 
weise weil sie entweder zuviel über die 
Daten-Sammel-Gepflogenheiten des 
Konzerns in Cupertino verriet oder sich 
negativ auf bestimmte App-Downloads 
auswirkte?'. 
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Alle 41 installierten Apps einsehen 


Was wäre, wenn alle Internetnutzer 
durchgängig Adblocker und Software zur 
Verhinderung von ausgehenden Verbin- 
dungen einsetzen würden? Würden Wer- 
betreibende dann wieder Werbung nach 


dem Gießkannenprinzip wie bei Printme- 
dien einsetzen? Eher nicht — wahrschein- 
lich würden Lobbyisten das in der für sie 
üblichen Weise über die Politik regeln. 


1 http://www.zeit.de/digital/datenschutz/ 
2016-11/datenschutz-browser- 
erweiterungen-wot-bundestagspolitiker 


2. https://netzpolitik.org/2016/ 
datenhungrige-browserplugins-machen- 
politiker-erpressbar-und-bedrohen- 
journalismus/ 


3 http://www.ndr.de/nachrichten/netzwelt/ 
Nackt-im-Netz-Millionen-Nutzer- 
ausgespaeht,nacktimnetz100.html 


4 http://www.faz.net/aktuell/wirtschaft/ 
cebit/vor-der-cebit-merkel-daten-sind-die- 
rohstoffe-des-2 1-jahrhunderts-14120493. 
html 


5 https://www.datenschutzzentrum.de/ 
tracking/piwik/20110315-webanalyse- 
piwik.pdf 


6 https://www.google.de/intl/de/analytics/ 


7 https://www.datenschutzzentrum.de/ 
presse/20110315-piwik.htm 


8 https://www.ghostery.com 


9 https://www.heise.de/newsticker/ 
meldung/Klage-gegen-Adblock-Plus- 
Teilerfolg-fuer-Springer-Niederlage-fuer- 
Eyeo-bei-Acceptable-Ads-3248585.html 


10 https://panopticlick.eff.org/about 
11 https://disconnect.me 
12 https://sweetpproductions.com 


13 https://digitalcourage.de/blog/2016/wot- 
addon-google-safe-browsing 


14 http://www. verbraucherzentrale.de/ 
windows10 


15 http://www.blog-it-solutions.de/mac-os- 
game-center-telefoniert/ 


16 http://www.blog-it-solutions.de/mac-os- 
netzwerk-internet-ueberwachen/ 


17 https://de.statista.com/statistik/daten/ 
studie/74368/umfrage/anzahl-der- 
verfuegbaren-apps-im-google-play-store/ 


18 http://blogs.wsj.com/wtk-mobile/ 


19 http://www.bitdefender.de/news/ 
bitdefender:-android-apps-verzichten- 
auf-das-ueberfluessige-sammeln-von- 
user-daten-2776.html 


20 http://www.bitdefender.de/solutions/ 
clueful-android.html 


21 https://techerunch.com/2013/05/2 1/after- 
getting-booted-from-apples-app-store- 
mobile-privacy-app-clueful-returns-on- 
android/ 
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Roland Appel 


Kanzlerin besoffen mit den Datenkraken 


Der jährliche IT-Gipfel der Bundes- 
regierung 2016 legte einen Wettlauf 
der Politik und Wirtschaftsinteressen 
um den vermeintlichen „Datenschatz“ 
offen, der sich gegen die Bürgerrech- 
te und jeglichen Datenschutz richtet. 
Die Kanzlerin polemisierte unsensibel 
und mit ungewohnt wenig Sachkennt- 
nis gegen die verfassungsrechtlichen 
Prinzipien der Zweckbindung und Da- 
tensparsamkeit — Eckpfeiler des moder- 
nen Datenschutzes. Industrielle Partner 
der Regierung verrieten, wie die Große 
Koalition ein zentrales Bürgerportal mit 
Personenregister für alle Bürger errich- 
ten will, in dem die Steuernummer zum 
zentralen Personenkennzeichen würde. 
Das ist nicht nur unter dem Aspekt der 
liberalen Freiheitsrechte problematisch. 
Der eigentliche Irrtum der GroKo liegt 
darin, dass sie die Gefahren für die 
Gesellschaftsordnung und die soziale 
Marktwirtschaft völlig unterschätzen, 
die von der Digitalisierung ausgehen. 
Politik muss die Gefahren der Digitali- 
sierung für Demokratie und soziale Ge- 
rechtigkeit erkennen und handeln, um 
Populismus zu bekämpfen. 


Goldgräberstimmung der 
Datenindustrie 


„Wir sind ja hier unter uns“ meinte 
Karl-Heinz Streiblich, Vorstandsvorsit- 
zender der Software AG kürzlich auf 
einer Veranstaltung des diesjährigen ‚„IT- 
Gipfels“ der Bundesregierung in Saar- 
brücken. Schauplatz war eine der Insider- 
veranstaltungen, zu denen sich jährlich 
etwa tausend Lobbyisten von Microsoft, 
Google, Facebook, SAP und Co. und 
Regierungsmitglieder von der Kanzlerin 
über die Bildungsministerin bis zum Jus- 
tiz- und zum Wirtschaftsminister unter 
Ausschluss der Öffentlichkeit und wei- 
testgehend ohne Journalisten und demo- 
kratische Öffentlichkeit in den Armen 
liegen. Datenschützer haben zu diesem 
Branchenauflauf traditionell keinen Zu- 
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tritt, obwohl hier viel über Datenschutz 
geredet wird — zumeist abfällig. Und im 
Jahr vor der Bundestagswahl wollten die 
Großkoalitionäre, ob Kanzlerin, Dob- 
rindt, Gabriel oder Wanka offensichtlich 
den Boden für die vermeintliche „Gold- 
gräberstimmung“ der Datenkraken berei- 
ten, wie wir sie bereits seit Jahren aus den 
USA kennen. 

Geradezu losgelassen polemisierten 
„Key-Note Speaker“ gegen den Daten- 
schutz als vermeintliches Hindernis ei- 
nes gigantischen Wirtschaftswachstums. 
Allen voran Kanzlerin Merkel, die sich 
mit schillernden, aber nichtssagenden 
Begriffen wie „Gigabit-Zeitalter“, „digi- 
talem Binnenmarkt“ und „Datensouve- 
ränität“ an sich selbst nahezu besoffen 
redete. Sie lobte zunächst die sinnvolle 
zentrale Erfassung der Asylbewerber in 
einem Verbundsystem des BAMF, um 
dann sogleich eine rechtsstaatlich unan- 
ständige Parallele zu den „schon immer 
hier lebenden“ Bundesbürgern zu zie- 
hen. Diese sollten, so Merkel, „Teil ei- 
nes Kerndatensystems werden“ und „wir 
müssen schon eine kleine Bewegung 
schaffen, dass die seit langem in unserem 
Land lebenden Bürger dies auch wollen.“ 
Sprich: Merkel möchte gerne das vom 
Bundesverfassungsgericht verbotene all- 
gemeine Personenkennzeichen für alle 
Bundesbürger einführen. Durch die Hin- 
tertür eines Serviceportals. Ein kleiner 
Schritt für Merkel, aber ein großer Schritt 
für den Überwachungsstaat! 


Ein Personenkennzeichen hintenrum 


Ein bürgerfreundliches Portal zu er- 
richten, auf dem vom Bafög über die 
Kfz-Ummeldung bis zur Beantragung 
des Kindergeldes alle Stellen erreich- 
bar sind, wäre durchaus an sich eine 
gute Sache. Allerdings könnte der Weg, 
wie dies umgesetzt werden soll, mög- 
licherweise massiv mit der Verfassung 
kollidieren. Vom Chef der Software AG 
wurde der besondere Knaller benannt, 


mit dem man das bewerkstelligen wol- 
le: durch die Zusammenführung der 
ELSTER-Daten des Finanzamtes, der 
verfassungsrechtlich umstrittenen Steu- 
ernummer als Personenkennzeichen mit 
denen des neu zu einzurichtenden perso- 
nalisierten Datenportals. Steuernummer 
und Daten des Melderechts als Selbstbe- 
dienungsladen für die Datenwirtschaft? 
Kaum zu glauben. 

Und weil die Kanzlerin kurz vor der 
Bekanntgabe ihrer erneuten Kandida- 
tur offenbar so richtig in Fahrt und von 
keinen bürgerrechtlichen Bedenken- 
trägern gebremst war, verstieg sie sich 
gleich noch zur Feststellung, dass das 
Prinzip der Datensparsamkeit, Be- 
standteil der EU-Datenschutzgrundver- 
ordnung, „in Zeiten von Big Data wohl 
nicht die Leitschnur für die Entwick- 
lung neuer Produkte sein könne“. Und: 
Auch die Rechtsprechung müsse das 
begreifen. Naja, Bürgerrechte kamen 
ja im politischen Unterricht des „realen 
Sozialismus“ nicht vor und belasteten 
auch nicht die Bundesregierungen un- 
ter Kohl, die den Großen Lauschan- 
griff und die Vorratsdatenspeicherung 
beschlossen und in denen Merkel ihre 
politische Lehrzeit hatte. Wie schon bei 
der Ausspionierung ihres eigenen Han- 
dys durch die NSA machte Merkel auch 
in Saarbrücken wieder deutlich, dass zu 
ihrem Staatsverständnis nicht gehört, 
die Privatsphäre ihrer Bürger gegen die 
kommerziellen Interessen von Google 
und Co. zu schützen. 


Große Koalitionen schaden den 
Bürgerrechten 


Wer nun glaubt, dass etwa der SPD- 
Justiz- und Verbraucherschutzminister 
Heiko Maas derartigen verfassungs- 
rechtlichen Ungereimtheiten Einhalt 
gebieten oder sich zumindest kritische 
Anmerkungen geleistet hätte, sieht sich 
getäuscht. Der kleine Mann aus dem 
Saarland blieb stumm. Dafür kommen 
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aus Sigmar Gabriels Ministerium seit 
Monaten die Töne eines Referenten für 
„Datenschutz“, der gebetsmühlenartig 
und gegen jede Verfassungswirklichkeit 
wiederholt, die Prinzipien der „Daten- 
sparsamkeit“ und der „Zweckbindung“ 
seien einfach in Zeiten von „Big Data“ 
nicht mehr zeitgemäß. Recht hat der 
Mann — wofür brauchen wir gegenüber 
Facebook und Google, Microsoft und 
Amazon, NSA und FBI, die jetzt bald 
von Donald Trump kontrolliert werden, 
noch irgendwelchen Datenschutz? 

So könnte das Grundrecht, welches das 
Bundesverfassungsgericht 1983 geradezu 
hellseherisch formuliert hat, in der Tat in 
Bedrängnis geraten. Denn auch die Ge- 
richte, das erwähnte die Bundeskanzlerin 
ausdrücklich in ihrer „Gipfelrede“, soll- 
ten in Zukunft „anders Recht sprechen“, 
damit man „im Gigabyte-Zeitalter‘“ mit 
Daten neue „Produkte“ schaffen könne. 
Nach den Zockern der Finanzindustrie 
nun die Zocker der Personenverdatung? 
Hat Frau Merkel nichts daraus gelernt, 
dass es im Internet immer wenige große 
Konzerne wie Microsoft, Google, Face- 
book, Ebay, Amazon oder Über sind, die 
sich zu Oligopolen und Monopolen ent- 
wickeln und gigantische Profite machen? 
Und wer hat entschieden, dass wir auch 
in Europa eine solche Herrschaft der Da- 
tenkraken wollen? Die datenbesoffene 
Kanzlerin könnte sich allerdings verfas- 
sungspolitisch geirrt haben: Ist doch das 
Grundrecht auf informationelle Selbstbe- 
stimmung direkt aus Artikel 1 des Grund- 
gesetzes, der Menschenwürde, abgeleitet. 
Und dieser Artikel darf in seinem We- 
sensgehalt nicht angetastet werden. Gut, 
zu Zeiten des Volkszählungsurteils hat 
sie noch in der DDR als Physikerin ge- 
arbeitet. Trotzdem: Wer die Kanzlerin auf 
dem IT-Gipfel in ihrer Wurschtigkeit ge- 
genüber Datenschutz erlebt hat und ange- 
sichts der Alternativlosigkeit ihrer Kan- 
didatur 2017 kann einem schon um die 
Bürgerrechte bange werden. Vielleicht 
sollte sich die eine oder andere Wählerin 
angesichts dessen doch noch einmal über- 
legen, ob es Alternativen zur GroKo gibt. 


Es geht nicht nur um liberale Frei- 
heitsrechte 


Wo heute noch Polizei und Staatsan- 


waltschaft richterliche Entscheidungen 
benötigen, um auf Einwohnerdaten, 
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Steuerdaten oder Konten zuzugreifen, 
könnte künftig vieles virtuell verknüpf- 
bar sein. Man kann daran fühlen: Bürge- 
rinnen und Bürger werden in der digita- 
len Welt vom Staat immer stärker als ein 
analoges Sicherheitsrisiko wahrgenom- 
men, nicht nur als potenzieller Terrorist, 
sondern auch in vielen Bereichen der 
Daseinsvorsorge. All dies wird jedoch 
mit dem schönen Wort von der „Bür- 
gerfreundlichkeit“ und dem „smarten“ 
Staat verbrämt. Ob die Bürger, wenn sie 
die Wahl hätten, mit einem freundlichen 
Verwaltungsangestellten direkt zu spre- 
chen, statt sich virtuell über unendliche 
anonyme Behördenflure zu klicken, dies 
überhaupt wollen, wird gar nicht erst 
gefragt. 

Apropos Sicherheitsrisiko: Donald 
Trump, Brexit und andere Populisten 
— Politikwissenschaftler analysieren, 
dass diese unter anderem deshalb im 
Aufwind sind, weil die Regierungen die 
„kleinen Leute“ weder gegen die Ma- 
chenschaften der Finanzindustrie, noch 
gegen Verlagerung und Vernichtung von 
Arbeitsplätzen, gegen die Flüchtlings- 
krise, gegen die Interessen der Wirt- 
schaft in Sachen Braunkohleverstro- 
mung, gegen das Schummeln von VW 
und Co. bei den Immissionen oder ge- 
gen die Aushöhlung des Rentensystems 
beschützen. Nun will Merkel noch auf 
einem weiteren Feld die Interessen der 
Bürger preisgeben. Gegenüber der „Big- 
Data-Industrie“, die sich in vielerlei Ge- 
stalt der persönlichen Daten der Bürger 
und damit deren persönlicher Freiheits- 
rechte bemächtigen möchte. Die Reakti- 
on derer, die sich nicht mehr vom Staat 
beschützt, sondern ausgeliefert fühlen, 
wird auf dem Fuße folgen. Viel Spaß 
beim „weiter so“ — wir sehen uns bei den 
nächsten Wahlen! 


Der Datenkapitalismus und die poli- 
tische Krise 


Es wäre zu kurz gegriffen, allein auf 
die Gefährdung der liberalen Freiheits- 
rechte abzustellen, um die es natürlich 
geht. Es geht daneben auch um eine tief- 
greifende ökonomische Transformation 
des Kapitalismus, die ungebremst zu 
mehr Monopolen führen wird als wir uns 
heute erträumen. Ein Beispiel dafür ist 
Ebay - heute die weltweit beherrschen- 
de Verkaufsplattform für Privatleute und 


Händler. Die Beiträge von Ebay zum 
Umweltschutz durch die Eröffnung des 
weltweit größten Flohmarkts für Ge- 
brauchtwaren seien hier ausdrücklich 
lobend erwähnt. Gleichwohl hat Ebay 
in den ersten 10 Jahren seiner Existenz 
nahezu alle nationalen, regionalen und 
mittelständischen Plattformen dieser Art 
verdrängt, aufgekauft oder in den Ruin 
getrieben. Das ist keine kapitalistische 
Boshaftigkeit, sondern systemimmanent 
bei der Bildung von Portalen im Inter- 
net, die eine Vielzahl von Akteuren auf 
einem Wirtschaftsplatz zusammen brin- 
gen — irgendwann wird es ein Monopol. 

Das Internet fördert — siehe Google 
und Facebook — Monopole und Vor- 
herrschaft und dieses Prinzip muss die 
Politik begreifen und sich dem im Inter- 
esse von Wettbewerb und ökonomischer 
Chancengleichheit entgegen stellen. 
Diese Freiheitsgarantie, die Wettbewerb 
für neue Marktteilnehmer ermöglicht, ist 
die neue, wichtigste Funktion des Staa- 
tes in der Informationsgesellschaft. Das 
haben Merkel, Gabriel und ihre Partei- 
en überhaupt nicht begriffen. Eigentlich 
entspricht das einer sozialen und zu- 
gleich wirtschaftsliberalen Denkweise, 
in der Stresemann, Erhardt und Helmut 
Schmidt standen. Der soziale und libera- 
le Rechtsstaat steht heute gegenüber der 
informatisierten Wirtschaft vor gravie- 
renden Herausforderungen, auch seine 
Rolle als Schutzmacht für Wettbewerb 
und Chancengleichheit in der Wirtschaft 
neu zu verorten und zwar für eine soziale 
Marktwirtschaft und für die Grundrechte 
des Individuums. Stellt sich die Politik 
dieser Herausforderung nicht und lässt 
sie einen ungezügelten Kapitalismus zu, 
besteht die Gefahr, dass sich Arbeitsver- 
hältnisse, sozialer Zusammenhalt und 
gesellschaftliche Bindungen weiter zer- 
rütten und das politische System weiter 
dem Populismus preisgeben. Ob Merkel 
hierzu den Mut hat, ist zu bezweifeln, 
weil es eine wirklich politisch (nicht 
parteipolitisch) linke, soziale und libera- 
le Politik erfordern wird, diese Probleme 
zu lösen. 


Digitale Anschläge gegen den sozialen 
Zusammenhalt 


Asoziale Geschäftsmodelle wie der 


Taxidienst Über sind ein extremes, aber 
auch gutes Beispiel für das, was ein 
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ungezügelter Datenkapitalismus an- 
richtet, wenn Regierungen und Rechts- 
staaten ihre Funktion zum Schutz der 
Bürger vor Ausbeutung nicht wahr- 
nehmen. In Deutschland hat der Staat 
nicht zugelassen, dass die aus guten 
Gründen für die Sicherheit der Fahrer 
und Fahrgäste bestehenden Regulie- 
rungen und Gesetze, die Mindeststan- 
dards an Ausbildung sowie behördli- 
cher Registrierung lizensierter Taxi- 
fahrer durchgesetzt wurden. In vielen 
Ländern, die ihre Taxifahrer weniger 
beschützt haben, hat Über inzwischen 
hunderttausende von kleinen Unter- 
nehmen vernichtet und Menschen ar- 
beitslos gemacht. Aber auch andere 
Geschäftsmodelle wie das autonome 
„Google-Auto“ würden allein in New 
York, wenn sie sich durchsetzten, über 
300.000 Arbeitsplätze von Taxifahrern 
vernichten. Die Auswirkungen des di- 
gitalen Wandels müssen auf den Tisch, 
gesellschaftlich diskutiert und poli- 
tisch entschieden werden. Weder Mer- 
kel noch Gabriel haben die politische 
Brisanz erkannt. 

Die Finanzindustrie erwirtschaftet 
weiter mit Wetten und Zockereien auf 
irreale, nicht von ökonomischen Ge- 
genwerten gedeckten Papieren, Deri- 
vaten und Aktien exorbitante Gewin- 
ne, denen keine reale Wirtschaftskraft 
entspricht. Sie schafft eine latente 
und digitale internationale Dauerkri- 
se. Dieselbe Finanzindustrie möchte 
den Bürgern mit unseriösen Argumen- 
ten wie angeblichem Terrorismus und 
Geldwäsche mittelfristig die Freiheit 
des Bargelds rauben, um damit jede 
Form von wirtschaftlicher Tätigkeit zu 
kontrollieren und einen ökonomischen 
Orwell-Staat zu errichten. Abschaffung 
des Bargeldes als Zahlungsmittel gäbe 
jeder Bank, jedem Staat zu jedem Zeit- 
punkt und an jedem Ort der Welt die 
Möglichkeit, einzelne Menschen durch 
die Sperrung ihrer Konten ökonomisch 
und existenziell zu vernichten und ge- 
genüber den Massen durch die Abhän- 
gigkeit aller von ihren Banken jede 
überzogene „Gebühr“ durchzusetzen. 
Angesichts dieser Entwicklung nimmt 
die Bundesregierung nicht etwa Par- 
tei für die Rechte der Bürger, sondern 
Wolfgang Schäuble stößt in das Horn 
der Banken und verbrämt das mit an- 
geblicher Bekämpfung von Korruption. 
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Die digitale Bedrohung der Presse als 
„vierte Gewalt“ 


Google und Facebook, aber auch Null- 
Lohn-Geschäftsmodelle wie die „Huf- 
fington Post“ sind eine Gefahr für den 
gerecht bezahlten und unabhängigen 
Journalismus, der unverzichtbar für die 
demokratische Willensbildung ist. Jour- 
nalismus, der unabhängig recherchiert, 
darf nicht durch nicht bestätigte, subjek- 
tive Berichte von Privatleuten, Betroffe- 
nen und parteiischen Beobachtern ersetzt 
werden. Die Existenz der klassischen 
Medien, Zeitungen und Zeitschriften ist 
weltweit in einer existenziellen Krise. 
Auf der Seite der Rezipienten fördern so- 
ziale Medien durch selektive Nachrich- 
tenzuteilung aufgrund der gewonnenen 
Nutzerprofile und der verwendeten Al- 
gorithmen nicht den Dialog, sonder die 
Vertiefung von Gegensätzen. Sie leisten 
wichtige Beiträge zur Bestärkung extre- 
mistischer, terroristischer und zum Teil 
faschistoider Weltbilder. Von Donald 
Trump bis zum Ku-Klux-Klan profitie- 
ren in den USA schlichte und gewaltbe- 
reite Gemüter von den sozialen Netzen 
und Medien. Die ernsten Auswirkungen 
dieser Strategie erleben wir heute im 
Verhalten der AfD-Anhänger und Popu- 
listen in Europa, die sich mit Gerüchten 
und Halbwahrheiten hochschaukeln und 
unabhängige Medien als „Lügenpresse“ 
diffamieren. Auch der IS und andere re- 
ligiöse Extremisten profitieren von den 
sozialen Medien. Sie bekommen ange- 
boten, nur das zu konsumieren, was ihr 
absurdes, zum Teil rassistisches Weltbild 
bestärkt. Der dramatisch wachsende Bei- 
trag dieser Medien zur politischen Wirk- 
lichkeit weltweit ist Entsolidarisierung 
und Destabilisierung vor allem der De- 
mokratien — das muss in jede Diskussion 
über digitale Risiken und Chancen Ein- 
gang finden. 

Das ging im Datenrausch des IT-Gip- 
fels 2016 völlig unter. Politik, Wissen- 
schaft und Wirtschaft zeigten sich kon- 
zeptionslos gegenüber den existenziellen 
demokratischen Gefährdungen der all- 
umfassenden Digitalisierung. 


Überwachte Bürger im digitalisierten 
Verkehr 


Während sich die Autokonzerne mit 
den Datenschützern auf Mindeststan- 


dards beim vernetzten Fahrzeug verstän- 
digt haben, sind es inzwischen vor allem 
die sogenannten „Drittanbieter“, allen 
voran die Autoversicherer, aber auch 
wieder Google und Facebook, Stromer- 
zeuger und Zulieferer, Parkhausbetrei- 
ber und Hotelportale sowie die Werbe- 
industrie, die Autofahrer und Fahrzeug 
beim „autonomen Fahren“ und vernetz- 
ten Fahrzeug ausspionieren wollen. Sie 
gieren nach den Navigationsdaten, um 
Bewegungsprofile zu erstellen, um z. B. 
Entertainment oder Navigationshilfen zu 
verkaufen, wollen Informationen über 
Fahrverhalten gewinnen, um Versiche- 
rungstarife anzupassen oder Gewährleis- 
tungsansprüche abzuwehren und sie su- 
chen nach Möglichkeiten, um Mobilitäts- 
profile der Fahrer für Werbung zu nutzen. 
Dabei stehen Zweckbindung und Daten- 
sparsamkeit dem Profitinteresse im Weg. 
Dass es gerade das sozialdemokratisch 
verantwortete  Wirtschaftsministerium 
ist, das hier den ideologischen Türöffner 
spielt und die informationelle Selbstbe- 
stimmung der Bürger an ökonomische 
Interessen verschenkt, knüpft an eine un- 
selige sozialdemokratische Tradition an, 
die von Noske bis zur Aushöhlung des 
Grundrechts auf Asyl reicht. 

Einen Beitrag zum „Thema verfehlt“ 
lieferte kürzlich Verkehrsminister Dob- 
rindt, indem er nicht etwa einen Gesetz- 
entwurf zum „autonomen Fahren“ präsen- 
tierte, sondern einen solchen, der die zahl- 
reichen Fahrzeugdaten sowie Insassen- 
überwachung erfasst, drei Jahre speichert 
und die Verfolgung von Geschwindig- 
keitsübertretungen und anderen Delikten 
so erleichtert. Nicht die Kernrisiken des 
„autonomen Fahrens“ werden geregelt, 
die darin bestehen, dass geklärt werden 
muss, wer — menschlicher Fahrer oder der 
Automat — gefahren ist und dies eigent- 
lich nur 30 Sekunden vor und nach einem 
potenziellen Unfall. Stattdessen will Dob- 
rindt die Erfassung und Speicherung von 
Verhaltensdaten der Fahrer und Insassen — 
eine lupenreine Lobbyauftragsarbeit ohne 
Rücksicht auf Bürgerrechte. 


Smarte Technik, gläserne Konsumen- 
ten, rechtlose Mitarbeiter, Arbeits- 
platzvernichtung 


Amazon, Lieferportale von Zalando 


bis Lieferando, Rewe und Edeka wollen 
die Daten der Konsumenten erlangen, 
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um ihnen rund um die Uhr personalisier- 
te und auf ihre Konsumentenprofile zu- 
geschnittene Warenangebote machen zu 
können, von denen die Zielgruppen heute 
noch nicht wissen, dass sie sie morgen 
kaufen wollen könnten. Dabei kommen 
ihnen die Stromkonzerne zu Hilfe, die 
mit dem „intelligenten Kühlschrank“, der 
weiss, wann Butter zur Neige geht, die 
Milch ranzig wird und neue bestellt, Big 
Data befeuern. Dass die Transporter der 
Versandhändler Innenstädte verstopfen 
und mit ihren Dieselmotoren zur Fein- 
staubbelastung der Metropolen beitra- 
gen, ist egal. Dass die Arbeitsverhältnisse 
bei Amazon und bei Paketdienstleistern 
mit einem Heer von Scheinselbständigen, 
mit immer mehr prekärer Beschäftigung 
einher gehen, Gewerkschaften immer 
zahnloser werden, hatte auf den Veran- 
staltungen des IT-Gipfels, den ja auch die 
SPD verantwortete, keine Stimme. Wich- 
tige Zukunftsfragen wurden auf dem IT- 
Gipfel nicht gestellt — sie erfordern aber 
politische Konsequenzen: 

- Wollen wir wirklich „Smart Cities“, in 
denen energiesparende LED-Straßen- 
laternen zu WLAN-Stationen werden, 
die unsere Smartphones mit Internet 
versorgen und dafür unsere Bewe- 
gungs- und Aufenthaltsdaten gewinnen 
und speichern? Dass sie mit Videoka- 
meras ausgestattet eine umfassende 
Überwachung des öffentlichen Rau- 
mes ermöglichen? 

Wollen wir wirklich, dass unter dem 
Thema E-Health der Kontakt mit Ärz- 
ten oder Psychologen auf den Bild- 
schirm reduziert und damit ein ganz es- 
senzieller Teil der Kommunikation für 
z. B. Kassenpatienten auf dem Land 
abgeschafft und direkte Betreuung den 
besserverdienenden Privatpatienten 
vorbehalten bleiben? 

Glauben wir wirklich, für die Wirt- 
schaft 4.0 ausreichend gerüstet zu sein, 
während Auszubildende und Mitarbei- 
ter über keine Kenntnisse von Daten- 
sicherheit und Datenschutz verfügen, 
während die Wirtschaftsspionage von 


China und Russland, von NSA und 
CIA dem Maschinenbau, dem Mittel- 
stand und der Industrie zusetzen? 
Glauben wir an die Versprechungen 
der angeblichen Umweltfreundlichkeit 
der E-Mobilität angesichts der Tatsa- 
che, dass die PKWs lediglich 14% des 
CO?-Ausstoßes verursachen, während 
immer noch ein großer Teil des Stroms 
aus Braunkohlekraftwerken mit 35% 
Wirkungsgrad erzeugt werden? 
Wollen wir, dass die Umstellung auf 
Elektromobilität in Stuttgart, Mün- 
chen, Ingolstadt und Wolfsburg rund 
hunderttausend Arbeitsplätze der Mo- 
tor-, Getriebe- und Hinterachsproduk- 
tion kosten würde? Können wir den 
Apologeten der Umweltfreundlichkeit 
der E-Mobilität wirklich vertrauen, 
obwohl Ladung, Betrieb und Wartung 
jede Menge Daten über Benutzer erhe- 
ben werden, die Entsorgung der öko- 
logisch problematischen Lithium-Bat- 
terien völlig ungeklärt ist und daten- 
sparsame Möglichkeiten zur Ladung 
der Fahrzeuge von der Industrie bisher 
völlig vernachlässigt werden? 


Dr. Axel Friedrich, lange Jahre Abtei- 
lungsleiter Verkehr beim Umweltbundes- 
amt, den Sigmar Gabriel in seiner Zeit als 
Umweltminister zu entlassen versucht hat, 
sagt dazu: „Baut endlich kleine, leichte, 
umweltfreundliche Autos mit modernsten 
kleinen Verbrennungsmotoren mit Hybri- 
dunterstützung. Die Technik ist vorhanden 
und wird uns ermöglichen, in den kom- 
menden 20 Jahren wirklich effiziente und 
ökologische Antriebe zu entwickeln.“ 


Digitale Vernunft statt digitaler 
Drogenrausch 


2017 könnte ein wichtiges Datum für 
eine Zeitenwende werden. Die Politik 
beschäftigt sich scheinbar mit der Be- 
kämpfung von Populismus, Trump, AfD, 
Marine Le Pen oder Geert Wilders, ohne 
einsehen zu wollen, dass deren politische 
Erfolge viel mit den Problemen zu tun ha- 
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ben, die sie selbst in Form einer weltweite 
rücksichtslosen Umverteilung von unten 
nach oben und rücksichtsloser Geschäfts- 
modelle ohne gesellschaftliche Verant- 
wortung geschaffen hat wie Sozialabbau, 
verfallende Infrastruktur und prekäre Be- 
schäftigungsverhältnisse. Bezeichnend 
für die Entsolidarisierung des von Konrad 
Adenauer und Ludwig Erhard geschlos- 
senen Paktes zwischen Arbeitgebern und 
Arbeitnehmern und der Generationen ist 
die aktuelle Rentendiskussion, die heute 
allein auf die Generationenfrage abstellt 
und diese gegeneinander ausspielt. CDU 
und FDP blenden die Verantwortung der 
Unternehmen für die Rente völlig aus und 
wenden sich damit gegen katholische So- 
ziallehre und soziale Marktwirtschaft. So- 
zialminister Ehrenberg in der Regierung 
Helmut Schmidt forderte 1976 bereits eine 
„Maschinensteuer“, um alle Schichten am 
gesellschaftlichen Produktionszuwachs 
teilhaben zu lassen. Aus gutem Grund. 
Die Tatsache, dass digitale Techniken die 
Treiber von Innovation und Produktivität 
sind, muss von der Politik beachtet wer- 
den. Alle angeführten gesellschaftlichen 
Entwicklungen haben mit Digitalisierung 
zu tun. Sie sind krisenhaft und Krisen er- 
zeugend. In allen Fällen bietet die Digita- 
lisierung keine Lösung, sondern lediglich 
eine Verstärkung der jeweiligen Tendenz 
des Problems. Die Digitalisierung der 
Gesellschaft ist kein Selbstzweck. Sie ist 
ein Instrument. Sie kann helfen, Probleme 
umfassender zu verstehen. Sie kann aber 
auch helfen, Probleme zu verschleiern. 
Die Menschen in politischer Verantwor- 
tung müssen das erkennen und daraus 
Wege entwickeln, die die Probleme von 
Arbeitsplatzvernichtung, immer unge- 
rechterer Einkommens- und Chancenver- 
teilung, Konzentration von Kapital, Macht 
und Datenherrschaft und sozialer Unge- 
rechtigkeit bekämpfen. Sie dürfen sich 
nicht fasziniert und kritiklos zum Helfer 
der Wirtschaftsinteressen machen — zum 
Beispiel durch die Aufhebung der Prinzi- 
pien von Datensparsamkeit und Zweck- 
bindung. 
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Frank Spaeing 


Von Bomben, Big Data und Präsidentschaftswahlen 


Wie ein Artikel die deutschsprachige Internetwelt erst sehr aufgerüttelt und dann zu 
intensiven Diskussionen angeregt hat. 


Am 3.12.2016 veröffentlichte Das Ma- 
gazin aus der Schweiz den Artikel „Ich 
habe nur gezeigt, dass es die Bombe gibt“ 
von Hannes Grassegger und Mikael Kro- 
gerus auf seiner Webseite!. In diesem Ar- 
tikel schreiben die Autoren, wie der pol- 
nische Forscher Michal Kosinski — sein 
Schwerpunkt bei der Forschungsarbeit 
ist die „Psychometrik, ein datengetriebe- 
ner Nebenzweig der Psychologie“ — am 
Wahlmorgen, dem 9.11.2016, sich die 
Frage stellt, ob er für den Wahlerfolg Do- 
nald Trumps verantwortlich ist. Im Ver- 
lauf des Artikels wird ausgeführt, wie der 
Forscher feststellt, dass Ergebnisse seiner 
Forschungsarbeiten scheinbar das engli- 
schen Unternehmen Cambridge Analytica 
zu einem Produkt geführt haben, von dem 
der CEO Alexander James Ashburner Nix 
behauptet, dass dieses Produkt Donald 
Trump zum Wahlsieg verholfen habe. 

Durch Zuordnen von Internetnutzern 
in bestimmte psychologische Kategori- 
en in Kombination mit den Datenbergen, 
die von besagten Internetnutzern durch 
Big-Data-Technologien in sozialen Netz- 
werken wie Facebook gesammelt werden, 
könne man Verhalten und Einstellungen 
ziemlich exakt vorhersagen: „2012 er- 
bringt Kosinski den Nachweis, dass man 
aus durchschnittlich 68 Facebook-Likes 
eines Users vorhersagen kann, welche 
Hautfarbe er hat (95-prozentige Treffsi- 
cherheit), ob er homosexuell ist (88-pro- 
zentige Wahrscheinlichkeit), ob Demokrat 
oder Republikaner (85 Prozent). Aber es 
geht noch weiter: Intelligenz, Religions- 
zugehörigkeit, Alkohol-, Zigaretten- und 
Drogenkonsum lassen sich berechnen. 
... Bald kann sein Modell anhand von 
zehn Facebooks-Likes eine Person bes- 
ser einschätzen als ein durchschnittlicher 
Arbeitskollege. 70 Likes reichen, um die 
Menschenkenntnis eines Freundes zu 
überbieten, 150 um die der Eltern, mit 300 
Likes kann die Maschine das Verhalten 
einer Person eindeutiger vorhersagen als 
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deren Partner. Und mit noch mehr Likes 
lässt sich sogar übertreffen, was Men- 
schen von sich selber zu wissen glauben. “ 

Fazit des Artikels ist, dass das Mutter- 
unternehmen vom Cambridge Analytica, 
die amerikanische Firma SCL -— Strate- 
gic Communications Laboratories, wel- 
che nach eigenen Aussagen eine Wahl- 
Management-Agentur ist, die mit Hilfe 
von „Marketing auf Basis eines psycho- 
logischen Modells“ Wahlbeeinflussung 
ermöglicht. Und so Trump zum Sieg ver- 
holfen und die Engländer in den Brexit 
getrieben haben, indem sie die Wähler, 
die von der Gegenseite nicht überzeugt 
waren, davon abgehalten haben zu wählen 
und die eigene Kernwählerschaft jeweils 
im großen Umfang mobilisiert haben. 

Auch ich habe diesen Artikel gelesen 
und war erst einmal verstört, habe ihn an 
Kollegen und Freunde weitergeleitet und 
mit diesen diskutiert. 

Aber dann kam ziemlich schnell die 
Gegenbewegung im Internet. Denn der 
Artikel hat große Wellen geschlagen. Von 
Spiegel Online (in der Kolumne von Sa- 
scha Lobo)? bis zur Süddeutschen Zei- 
tung? brachten diverse Medien Beiträge 
über diesen Artikel. Und diese betrachte- 
ten das Thema durchaus differenzierter. 

So kommt die Süddeutsche zu dem Fa- 
zit: „Wenn Wahlentscheidungen sich im- 
mer weiter Konsumoptionen angleichen, 
stecken darin politische Risiken, kein 
Zweifel. Aber gerade die multioptionalen 
Bedingungen der pluralistischen Gesell- 
schaft könnten auch die Grenzen der po- 
litischen Manipulation sein. Einfacher ge- 
sagt: Wir kaufen ja auch sonst nicht alles, 
was uns Anzeigen anbieten.“ 

Sascha Lobo spricht vom magischen 
Digitalismus, der Tatsache, dass wir mitt- 
lerweile Algorithmen magische Fähigkei- 
ten zuzuschreiben. „Der magische Digita- 
lismus aber wird zum doppelten Problem 
der Gesellschaft. Einerseits, wenn dieser 
Digitalaberglaube aus Unwissen entsteht, 


und andererseits, wenn er aus der Hybris, 
der Selbstüberschätzung der Wissenden 
entsteht.“ und „Der magische Digitalis- 
mus dagegen bietet tolle gefühlte Digital- 
erklärungen und versperrt so den Blick 
auf Kausalzusammenhänge. “ 

Auch in dem WDR-Blog? wird anhand 
vieler weiterführender Referenzen der ur- 
sprüngliche Artikel intensiv diskutiert und 
viele seiner Aussagen werden entkräftet 
oder relativiert. 

Aber es bleibt trotzdem ein komisches 
Gefühl. War der ursprüngliche Artikel 
Jetzt nur eine Art Marketing-Veranstaltung 
für das englische Unternehmen? Oder 
wird es in Zukunft doch potentiell große 
Probleme mit Big Data und Wahlen ge- 
ben, so wie Herr Caspar in der Augsburger 
Allgemeinen schrieb”° 

Wir werden die nächsten Wahlen in Eu- 
ropa mit wachem Blick verfolgen müssen, 
wir müssen sicherstellen, dass wir nicht 
selbst an der Verbreitung von Fake News 
teilhaben, nicht dem magischen Digitalis- 
mus verfallen. Und es ist sicher weiterhin 
eine gute Idee, immer mal wieder die Fra- 
ge zu stellen, ob wir die Menge der Daten, 
die wir im Zweifelsfall unbedarft von uns 
preisgeben, nicht beschränken können und 
wollen. 


1 https://www.dasmagazin.ch/2016/12/03/ 
ich-habe-nur-gezeigt-dass-es-die-bombe- 
gibt/ 


2. http://www.spiegel.de/netzwelt/web/ma- 
gischer-digitalismus-wie-unser-technik- 
aberglaube-uns-allen-schadet-a-1124836. 
html 


3 http://www.sueddeutsche.de/digital/face- 
book-targeting-vor-us-wahl-was-hinter- 
der-angst-vor-big-data-steckt-1.3287648 


4 https://blog.wdr.de/digitalistan/hat-wirk- 
lich-der-grosse-big-data-zauber-trump- 
zum-praesidenten-gemacht/ 


5 http://www.augsburger-allgemeine.de/ 
politik/Datenschuetzer-warnen-vor-Big- 
Data-im-Wahlkampf-id39922602.html 
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Werner Hülsmann 


Entwurf der ePrivacy-Verordnung ist öffentlich — 
Auswirkung auf das Direktmarketing? 


Nachdem am 10. Dezember 2016 dar- 
über berichtet! wurde, dass der Entwurf 
der Nachfolgeregelung der ePrivacy- 
Richtlinie von der EU-Kommission am 
11. Januar 2017 in Brüssel vorgestellt 
werden soll und es sich bei dieser Nach- 
folgeregelung um eine direkt wirkende 
Verordnung handeln wird, wurde am 13. 
Dezember der Entwurf? der ePrivacy- 
Verordnung (ePrivVO) geleakt. 

An dieser Stelle kann noch keine 
umfassende Stellungnahme zu dem 
Entwurf erfolgen. Eine für viele Unter- 
nehmen wichtige Fragestellung soll hier 
aber bereits beleuchtet werden: 


Das elektronische Direktmarketing 


Relevant ist hierbei vor allem Art. 16 
ePrivVO-E, in dem die bisherige Rege- 
lung aus Artikel 13 ePrivacy-Richtlinie 
übernommen wird. Diese Regelung 
wurde bislang in Deutschland (in völlig 
unpassender Weise) im $ 7 des Gesetzes 
gegen den unlauteren Wettbewerb um- 
gesetzt. In Art 16 Abs. 2 ePrivVO-E fin- 
den sich die (in Deutschland durch $ 7 
Abs. 3 UWG umgesetzten) Regelungen 
zur vereinfachten Erlaubnis zur Nut- 
zung von E-Mail-Adressen (oder SMS- 
Nummern) für eigene Werbezwecke, 
wenn die dortigen Bedingungen (s.u.) 
erfüllt sind. 

Diese Beibehaltung bestätigt die be- 
reits vertretene Auffassung, dass sich 
die insbesondere der Satz „Die Verar- 
beitung personenbezogener Daten zum 
Zwecke der Direktwerbung kann als 
eine einem berechtigten Interesse die- 
nende Verarbeitung betrachtet werden.“ 
aus Erwägungsgrund 47 der EU-Da- 
tenschutzgrundverordnung (DSGVO) 
zum Direktmarketing nur auf das pos- 
talische Direktmarketing, nicht aber auf 
das Direktmarketing per elektronischer 
Kommunikation (E-Mail, Telefon, FAX, 
SMS) bezieht. 
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Wesentliche Punkte des Entwurfs 
ePrivVO 


Die folgende Darstellung ist nur eine 
erste kurze Einschätzung und verzichtet 
auf den (wesentlichen) Teil der Verord- 
nung, der nur für die Unternehmen gilt, 
die Dienste der elektronischen Kommu- 
nikation für die Öffentlichkeit anbieten: 


Art. 1 Abs. 3 ePrivVO-E: Die ePriv- 
VO konkretisiert und detailliert die 
Regelungen DSGVO, insoweit in der 
ePrivVO die Verarbeitung personen- 
bezogener Daten geregelt ist. 

° Art. 4 Abs. 1 ePrivVO-E: Die Be- 
griffsbestimmungen aus der DSGVO 
gelten auch für die ePrivVO. 

Art. 4 Abs. 2 lit fund g: Hier sind die 
Definitionen von „electronic mail“ 
und „direct marketing communica- 
tion“ enthalten. 

Art. 9 ePrivVO-E: Nach Art. 9 Abs. 1 
ePrivVO-E gelten für Einwilligungen 
die Anforderungen aus Art. 7 DS- 
GVO. 

Art. 16 Abs. 1: ePrivVO-E: Werbung 
mit Hilfe elektronischer Kommunika- 
tion (E-Mail, Telefon, AX, SMS) ist 
nur mit vorheriger Einwilligung der 
End-Nutzer zulässig. 

Art. 16 Abs. 2 ePrivVO-E: Enthält 
die Regelungen der bereits bekannten 
vereinfachten Erlaubnis für Werbung 
für „electronic mail“ bei Einhaltung 
der dortigen Regelungen (Erhebung 


der Daten bei Verkauf einer Ware 
oder Dienstleistung in Übereinstim- 
mung mit der DSGVO, Werbung für 
eigene ähnliche Produkte und Dienst- 
leistungen, Hinweis auf die werbliche 
Nutzung sowie Hinweis auf Wider- 
spruchsmöglichkeit bei Erhebung und 
bei jeder Nutzung). 

Art. 25 ePrivVO-E Abs. 4: Die Mit- 
gliedstaaten sollen die Sanktionen für 
Verstöße gegen Art. 16 (und andere 
Artikel) der ePrivVO selbst regeln. 
Art. 31 ePrivVO-E, Inkrafttreten und 
Anwendbarkeit: Das Inkrafttreten ist 
am 21. Tag nach der Verkündung im 
EU-Amtsblatt vorgesehen, gelten soll 
die Verordnung sechs Monate nach 
dem Inkrafttreten. 


Eine ausführlichere Bewertung des 
— bis dahin dann offiziell bekannt ge- 
machten — Verordnungsentwurfs wird 
in einer der nächsten DANA-Ausgaben 
erfolgen. 


Fazit 


Mit dem Entwurf der ePrivacy-Ver- 
ordnung wird das Verhältnis zwischen 
der EU-Datenschutzgrundverordnung 
und den bereichsspezifischen Regelun- 
gen zum Datenschutz in der elektroni- 
schen Kommunikation deutlich besser 
geregelt als es noch mit der ePrivacy- 
Richtlinie möglich ist. Es bleibt aller- 
dings abzuwarten, welche Entwicklung 
der jetzt bekannt gewordene Entwurf im 
Rahmen des EU-Gesetzgebungsverfah- 
ren erfahren wird. 


1 https://dsgvo.expert/entwurf- 
fuer-die-nachfolgeregelung-der- 
e-privacy-richtlinie-wird-am-11- 
januar-2017-vorgestellt/ oder kürzer: 
https://dsgvo.expert/rNI93E 


2. http://www.politico.eu/wp-content/ 
uploads/2016/12/POLITICO-e-privacy- 
directive-review-draft-december.pdf 
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Frank Spaeing 


Der holprige Weg zum BDSG-Nachfolger 


Eine Beschreibung der ersten Etappen aus Sicht der DVD 


Im September 2016 hat das BMI als 
das federführende Ministerium einen 
ersten Entwurf eines Gesetzes zur Um- 
setzung der Europäischen Datenschutz- 
Grundverordnung (DSAnpUG-EU) an 
ausgewählte Ministerien und u.a. auch 
die BfDI zur Stellungnahme übersandt. 
Im Vorfeld hatten schon diverse Orga- 
nisationen und auch Einzelpersonen 
Anforderungen an den Nachfolger des 
im Mai 2018 durch die Europäische Da- 
tenschutzgrundverordnung (DSGVO) 
in Teilen obsolet werdenden Bundesda- 
tenschutzgesetzes (BDSG) aufgestellt. 
Auch die DVD hatte in Zusammenar- 
beit mit digitalcourage eine „Position 
zur Ausgestaltung der Europäischen 
Datenschutzgrundverordnung“ (u.a. 
in der DANA 2/2016!) veröffentlicht”. 
Dieser erste Entwurf, der wie so oft vor 
der offiziellen Veröffentlichung geleakt 
wurde‘, wurde nach teilweise substanti- 
eller Kritik* gar nicht erst offiziell in die 
Verbändeanhörung gegeben. Im No- 
vember kam dann wieder Bewegung in 
den Gesetzgebungsprozess, ein zweiter 
Referentenentwurf machte die Runde. 
Dieses Mal war es die Deutsche Ver- 
einigung für Datenschutz e.V. (DVD), 
die als erste den zweiten Entwurf (mit 
Stand vom 11.11.2016) eines Gesetzes 
zur Anpassung des Datenschutzrechts 
an die Verordnung (EU) 2016/679 und 
zur Umsetzung der Richtlinie (EU) 
2016/680 vorab veröffentlichte. Im 
Folgenden die Pressemitteilung der 
DVD zum geleakten Entwurf: 
Datenschützer kritisieren neuen 
BDSG-Referentenentwurf 


Das Bundesministerium des Innern 
(BMI) hat einen zweiten Entwurf eines 
Gesetzes zur Umsetzung der Europäi- 
schen Datenschutz-Grundverordnung 
(DSGVO) vorgelegt, den die Deut- 
sche Vereinigung für Datenschutz e.V. 
(DVD) exklusiv veröffentlicht. Die 
DVD hält auch diesen Entwurf für 
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massiv verbesserungsbedürftig. Ein 
erster Entwurf vom September war 
umgehend zurückgezogen worden, 
nachdem er von fast allen Seiten hef- 
tig kritisiert worden war. Nach Ansicht 
der DVD ist der jetzt vorgelegte Ent- 
wurf gesetzestechnisch besser gelun- 
gen. Dies gilt für die in Deutschland 
traditionell bestehende Aufteilung 
zwischen Datenschutz im öffentlichen 
und im nicht-öffentlichen Bereich, 
für die Systematik sowie für die Be- 
zugnahmen auf die DSGVO. Doch 
enthält der Entwurf nach der Ansicht 
der DVD alte und teilweise auch neue 
europarechts-und verfassungswidrige 
inakzeptable Regelungen. Dies gilt 
für die Beschränkung der Kontroll- 
befugnis der Datenschutzaufsichts- 
behörden auf technischeAspekte bei 
Berufsgeheimnisträgern wie z. B. Ärz- 
ten, Psychologen und Anwälten. Drin- 
gend nötige Regelungen zum Schutz 
der Berufsgeheimnisse unterbleiben 
dagegen. Die Einschränkungen des 
Auskunftsanspruchs der Betroffenen 
— der „Magna Charta des Datenschut- 
zes“ — mit Argumenten der Sicherheit 
sowie des Schutzes von Betriebs-und 
Geschäftsgeheimnissen verletzt das 
verfassungsmäßige Grundrecht auf 
Datenschutz. Bei den materiellen Re- 
gelungen versucht das BMI eine vom 
Bundesgesetzgeber noch gar nicht 
verabschiedete Vorschrift zur Video- 
überwachung nach Wirksamwerden 
der DSGVO fortzuschreiben, mit wel- 
cher Sicherheitsbelangen der Vorrang 
vor dem Datenschutz eingeräumt wird 
und für die der nationale Gesetzgeber 
überhaupt keine Regelungsbefugnis 
hat. Nicht akzeptabel sind für die DVD 
insbesondere auch die Beschränkun- 
gen der Prüf-und Berichtsbefugnis 
der Bundesbeauftragten für den Da- 
tenschutz und die Informationsfreiheit 
(BfDI) im Geheimdienstbereich und 
die Beschränkung der Sanktionsmög- 
lichkeiten der BfDI in den Bereichen 


Polizei und Justiz. Parallel dazu wird 
der BfDI die Vertretungsbefugnis 
Deutschlands im Europäischen Daten- 
schutzausschuss (EDSA) auch für den 
nichtöffentlichen Bereich eingeräumt, 
obwohl sie bisher nur im Bereich der 
Post-und Telekommunikationsunter- 
nehmen Prüfkompetenz und Erfah- 
rungen hat. Die Unabhängigkeit der 
Landesdatenschutzbeauftragten wird 
durch Verfahrensregeln beeinträchtigt, 
wie z.B. zu der Bestellungsbefugnis 
der Stellvertreterfunktion im EDSA 
durch den Bundesrat. 

Frank Spaeing, Vorsitzender der 
DVD, kritisiert: „Der Entwurf ist eher 
ein Datenschutzverhinderungsgesetz. 
Das Bundesjustiz- und Verbrauchermi- 
nisterium, das Bundeswirtschafts- so- 
wie das Bundesforschungsministerium 
müssen unbedingt umgehend interve- 
nieren, da die Zeit für eine rationale 
Gesetzgebung in dieser Legislaturperi- 
ode ausläuft und grundlegende verfas- 
sungsrechtliche Notwendigkeiten so- 
wie die Belange von Wirtschaftsunter- 
nehmen, Verbrauchern und Forschung 
ignoriert werden.“ Thilo Weichert, 
Vorstandsmitglied der DVD, ergänzt: 
„Die Einschränkung der Datenschutz- 
kontrolle im ärztlichen Bereich, die 
bisher ein Schwerpunkt der Aufsichts- 
behörden ist, ist schlichtweg eine Kata- 
strophe. Es ist kaum zu glauben, dass in 
Deutschland Standeslobby beim BMI 
derart viel Gehör findet. Der aktuelle 
IT-Gipfel hat in erschreckender Weise 
zu erkennen gegeben, dass Datenschutz 
bei der Bundesregierung derzeit nicht 
als relevant wahrgenommen wird. Der 
aktuelle BMI-Entwurf ist ein weiterer 
Beleg hierfür.“ 

Ob diese unsere Pressemitteilung 
den Ausschlag gab (die Katze war ja 
nun aus dem Sack) oder ob wir einfach 
nur gerade noch rechtzeitig den uns be- 
kannt gewordenen Entwurf vorab ver- 
öffentlicht hatten ist eine Frage für ent- 
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spannte Spekulation. Als Ergebnis gab 
auf jeden Fall am 23.11.2016 das BMI 
offiziell den Entwurf eines Gesetzes 
zur Anpassung des Datenschutzrechts 
an die Verordnung (EU) 2016/679 und 
zur Umsetzung der Richtlinie (EU) 
2016/680 (Datenschutz-Anpassungs- 
und -Umsetzungsgesetz EU — DSAn- 
pUG-EU) mit Stand vom 23.11.2016 
in die Verbändeanhörung’. Nach kur- 
zem Querlesen konnten wir auf unserer 
Seite für die DVD-Pressemitteilungen 
festhalten, dass zwischen dem geleak- 
ten Entwurf vom 11.11.2016 und dem 
offiziellen Entwurf zur Verbändeanhö- 
rung vom 23.11.2016 nur geringfügi- 
ge Unterschiede bestanden und somit 
unsere oben abgedruckte Pressemittei- 
lung weiterhin Bestand hatte. Und dann 
ging das intensive Beschäftigen mit 
dem Entwurf los. Wir waren ja nun of- 
fiziell zur Stellungnahme aufgefordert 
und in bewährter Manier haben wir in 
Zusammenarbeit mit den Kolleginnen 
und Kollegen vom Netzwerk Daten- 
schutzexpertise zusammen an der Stel- 
lungnahme gearbeitet und konnten am 
04.12.2016 unsere Stellungnahme ans 
BMI übermitteln und am 05.12.2016 
passend dazu eine weitere PM und die 
Stellungnahme selbst veröffentlichen. 
Im Folgenden nun die Pressemittei- 
lung® und danach die Stellungnahme’ 
im Wortlaut: 

Qualifizierte Kritik von Datenschüt- 
zern am BMI-Entwurf für ein neues 
deutsches Datenschutzrecht 


Mit Datum vom 23.11.2016 stellte das 
Bundesministerium des Innern (BMI) 
Verbänden einen Referentenentwurf 
für ein „Datenschutz-Anpassungs-und 
Umsetzungsgesetz“ zur Stellungnah- 
me zur Verfügung. Mit diesem Entwurf 
sollen die Europäische Datenschutz- 
Grundverordnung (DSGVO), die am 
25.05.2018 europaweit direkt anwend- 
bar sein wird, umgesetzt und zugleich 
das nationale Datenschutzrecht moder- 
nisiert werden. In ihrer Stellungnahme 
begrüßt die Deutsche Vereinigung für 
Datenschutz e.V. (DVD) gemeinsam 
mit dem Netzwerk Datenschutzexperti- 
se, dass ein solcher Gesetzentwurf vor- 
gelegt wird und dass das bewährte Ins- 
trument der betrieblichen/behördlichen 
Datenschutzbeauftragten beibehalten 


DANA » Datenschutz Nachrichten 4/2016 


wird, formuliert aber zu vielen kon- 

kreten Regelungsvorschlägen harsche 

Kritik, u. a.: 

° Die bisher geringe Erhöhung der 
Ausstattung bei den Aufsichtsbehör- 
den der Länder ist völlig ungenü- 
gend. Mittelfristig bedarf es in etwa 
einer Verdreifachung der Ressour- 
cen, insbesondere des Personals. 

° Die geplante Regelung zur Video- 
überwachung mit der besonderen 
Hervorhebung öffentlicher Sicher- 
heitsbelange ist europarechts- und 
verfassungswidrig. 

°e Die Regelung zur Bestellung der 
Bundesbeauftragten für den Daten- 
schutz und die Informationsfreiheit 
(BfDI) verstößt hinsichtlich der ge- 
forderten Transparenz und den per- 
sonellen Anforderungen gegen die 
europarechtlichen Vorgaben. 

° Die eingeschränkten Kontroll-und 
Sanktionsmöglichkeiten der BfDI 
insbesondere im Sicherheitsbereich 
untergraben in diesen Bereichen die 
Effektivität der Datenschutzaufsicht. 

° Die Regelungen zur Vertretung der 
Aufsichtsbehörden der Länder im 
Europäischen Datenschutzausschuss 
beeinträchtigen deren Unabhängig- 
keit. 

e Die Einschränkung der Kontrollbe- 
fugnisse der Datenschutzaufsicht im 
Bereich der Berufsgeheimnisse ist in- 
akzeptabel sowie europarechts- und 
verfassungswidrig. 

e Die Möglichkeiten zur Verweigerung 
von Auskünften an Betroffene sind 
zu unbestimmt und zu weitgehend. 

« Es verbleiben große Regelungsdefi- 
zite in Bezug auf die Datenverarbei- 
tung in Beschäftigungsverhältnissen 
und in der Forschung, in Bezug auf 
die Beauftragung von IT-Dienstleis- 
tern sowie in Bezug auf die Angebote 
von Herstellern und Anbietern von 
IT-Produkten. 


Werner Hülsmann, stellv. Vorsitzen- 
der der DVD: „Es ist erschreckend, mit 
welcher Ignoranz das Bundesinnenmi- 
nisterium die europäischen Vorgaben 
zum Datenschutz in Teilen umsetzen 
möchte. Damit betätigt sich das Mi- 
nisterium als Bremser. Es verabschie- 
det sich so von der früheren Funktion 
Deutschlands, den Datenschutz glo- 
bal und in Europa fortzuentwickeln.“ 


Thilo Weichert, Mitglied des DVD- 
Vorstands: „Der Entwurf ist nicht nur 
politisch nicht akzeptabel, sondern 
auch ein teilweise klarer Verstoß ge- 
gen europäisches Recht und gegen die 
deutsche Verfassung. Es wäre ein ein- 
maliger Vorgang, wenn das Bundes- 
verfassungsgericht und der Europäi- 
sche Gerichtshof nicht nur spezifische, 
sondern grundlegende Regelungen 
beim Datenschutz aufheben müssten.“ 
Frank Spaeing, Vorsitzender der DVD: 
„Dieser Entwurf ist wirtschafts-, fort- 
schritts- und betroffenenfeindlich. Wir 
hoffen, dass die Kritik der Verbände 
und der anderen Ministerien dazu führt, 
dass die bestehenden Defizite behoben 
werden.“ 

1 DANA 2/2016 zum Download: https:// 

www.datenschutzverein.de/wp-content/ 


uploads/2016/07/DANA_2-2016_ 
RoteLinienRevisited_Web.pdf 


2 PM zur Veröffentlichung: https://www. 
datenschutzverein.de/wp-content/up- 
loads/2016/07/PM-20 16-08-01-BDSG- 
Nachfolgegesetz.pdf 


3 https://cdn.netzpolitik.org/wp-up- 
load/2016/09/Referentenentwurf DSAn- 
pUG_EU.pdf 


4 unter anderem https://www.eaid-berlin. 
de/?p=1309, https://cdn.netzpolitik.org/ 
wp-upload/20 16/09/BMJV_Stellung- 
nahme_DSAnpUG_EU.pdf und https:// 
cdn.netzpolitik.org/wp-upload/2016/09/ 
BfDI_Stellungnahme_DSAnpUG_ 
EU.pdf 


5 geleakte Version des Gesetzesentwurfs 
mit Stand vom 11.11.2016: 
https://www.datenschutzverein.de/wp- 
content/uploads/2016/11/2016-11-11_ 
DSAnpUG-EU-BDSG-neu_Entwurf-2 _ 
Ressortabstimmung.pdf 


6 siehe auch https://www.daten- 
schutzverein.de/wp-content/up- 
loads/2016/11/2016-11-22_PM-DVD- 
BDSG-neu.pdf 


7 https://www.datenschutzverein.de/wp- 
content/uploads/2016/11/161123_BDSG- 
neu-RefE_-2.-Ressortab-Verbaende- 
Laender.pdf 


8 https://www.datenschutzverein.de/wp- 
content/uploads/2016/12/2016-12-05- 
DVD-PM-BSDG-neu.pdf 


9 https://www.datenschutzverein.de/wp- 
content/uploads/2016/12/Stellungnahme _ 
BDSG-neu_DVD_NWDSE 20161204 
Web.pdf 


Lesen Sie auf den folgenden Seiten 
die Stellungnahme im Wortlaut. 
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Stellungnahme der Deutschen Vereinigung für Datenschutz e. V. (DVD) 
sowie des Netzwerks Datenschutzexpertise 


Referentenentwurf 


des Bundesministeriums des Innern 


Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und 
zur Umsetzung der Richtlinie (EU) 2016/680 


(Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU) - Stand 23.11.2016 


A Allgemeine Erwägungen 


Es wird begrüßt, dass der Bundesge- 
setzgeber ein Gesetz zur Umsetzung der 
Europäischen Datenschutzgrundverord- 
nung (EU 2016/679, künftig DSGVO) 
sowie der der Europäischen Daten- 
schutzrichtlinie für Justiz und Inneres 
(EU 2016/680, künftig JI-Richtlinie) an- 
strebt. Nur so kann erreicht werden, dass 
die Anwender der Regelungen einen 
rechtssicheren Überblick haben, welche 
europäischen und nationalen Regelun- 
gen Gültigkeit haben, wenn die DSGVO 
und die JI-Richtlinie im Mai 2018 direk- 
te Wirksamkeit entfalten. 

Es sollte darauf geachtet werden, 
dass nationale Regelungen, denen kein 
eigenständiger Regelungsgehalt zu- 
kommt, europäische Vorgaben nicht 
einfach wiederholen. Vielmehr sollte 
im Interesse der Klarheit und Rechtssi- 
cherheit jeweils auf die direkt anwend- 
baren Normen verwiesen werden, wenn 
dadurch nicht die Gesamtverständlich- 
keit des Normtextes leidet. Bei der Kon- 
kretisierung europäischer Normen durch 
nationale Regelungen auf der Grundla- 
ge von sog. Öffnungsklauseln, also der 
europarechtlichen Zulassung nationaler 
Rechtsetzung, sollte grundsätzlich ein 
Verweis auf die zulassende europäi- 
sche Norm erfolgen. 


B Ausstattung der Aufsichtsbehörden 


In Ihrem Anschreiben wurde darum 
gebeten, eine Einschätzung abzugeben, 
welche ggfs. Einsparungen und welcher 
Aufwand sich für die Länder aus dem 
Vollzug des geänderten Datenschutz- 
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rechts ergeben. Die neuen Regelungen 
der DSGVO begründen insbesondere 
für die Datenschutzaufsicht, also zu- 
meist die Dienststellen der Landesbe- 
auftragten für Datenschutz, Aufgaben 
insbesondere in folgenden Bereichen: 

« Zusammenarbeit mit Verantwortli- 
chen, Auftragsverarbeitern und deren 
Vertretern (Art. 31 DSGVO), 
Entgegennahme und Bearbeitung der 
Meldungen von Datenschutzverlet- 
zungen (Breach Notification, Art. 33 
DSGVO), 

Definition der Kriterien, Entgegen- 
nahme, Kommunikation, Prüfung und 
Bewertung von Datenschutz-Folgen- 
abschätzungen (Art. 35 Abs. 4 - 6 DS- 
GVO) sowie Konsultation bei hohem 
Risiko (Art. 36 DSGVO), 
Entgegennahme der Meldungen von 
Datenschutzbeauftragten (Art. 37 
Abs. 7 DSGVO) sowie Zusammenar- 
beit mit diesen (Art. 38 Abs. 1 lit. d, e 
DSGVO), 

Förderung der Ausarbeitung, Bewer- 
tung und Genehmigung von Verhal- 
tensregeln (Art. 40 Abs. 1,5 DSGVO) 
sowie die Überwachung und Kommu- 
nikation hierzu (Art. 41), 

Förderung und Überprüfung von Zer- 
tifizierungen (Art. 42, 43 DSGVO), 
Bewertung des internationalen Da- 
tentransfers durch Prüfung und Ge- 
nehmigung von Vertragsklauseln und 
anderen Bestimmungen und gegebe- 
nenfalls Durchführung von Kohärenz- 
verfahren hierzu sowie internationale 
Zusammenarbeit (Art. 46 Abs. 3, 4,47 
Abs. 1,50 DSGVO), 

Wahrnehmung der Aufgaben nach Art. 
57 DSGVO (s. 0. sowie u. a. Überwa- 


chung, Durchsetzung, Information 
und Beratung für Öffentlichkeit, Ver- 
antwortliche u. Auftragsverarbeiter, 
Bearbeitung von Beschwerden, Zu- 
sammenarbeit mit anderen Aufsichts- 
behörden, Festlegung von Standard- 
vertragsklauseln und verbindlichen 
internen Vorschriften), 

Aufbau und Pflege von elektronischen 
Kommunikationsmitteln(Art.57Abs.2 
DSGVO), 

Wahrnehmung der Befugnisse zur 
Untersuchung, Abhilfe, Genehmigung 
und Sanktion (Art. 58 Abs. 1-3, 5 DS- 
GVO) 

Wahrnehmung weiterer Befugnisse, 
z. B. im Bereich der Informationsfrei- 
heit (Art. 58 Abs. 6 DSGVO), 
Erstellen von Jahresberichten (Art. 59 
DSGVO), 

Zusammenarbeit mit den Aufsichts- 
behörden des Bundes und der Länder 
($ 18 BDSG-neu) 

Zusammenarbeit und Durchführung 
von Kohärenzverfahren (Art. 60-67 
DSGVO), 

Zusammenarbeit und Beteiligung (als 
betroffene Aufsichtsbehörde) im Rah- 
menderTätigkeitdes Europäischen Da- 
tenschutzausschusses (Art. 68 Abs. 4, 
70 DSGVO, $ 17 BDSG-neu), 
Durchführung von Gerichtsverfahren 
(Art. 78 DSGVO), Anfechtung von 
Kommissionsentscheidungen ($ 21 
BDSG-neu). 


Entsprechende Aufgaben haben die 
Datenschutzaufsichtsbehörden auch ge- 
mäß der JI-Richtlinie. 

Viele der o. g. Aufgaben gehen über 
die bisher bestehenden Aufgaben weit 
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hinaus, insbesondere was neue Instru- 
mente, die (internationale) Zusammen- 
arbeit, Genehmigungen und die Durch- 
führung von gerichtlichen Verfahren 
betrifft. 

Das Bundesverfassungsgericht 
(BVerfG) hat festgestellt, dass insbeson- 
dere im für die Betroffenen intranspa- 
renten Öffentlichen Sicherheitsbereich 
bei den Aufsichtsbehörden regelmäßige 
Prüfpflichten bestehen, denen viele Auf- 
sichtsbehörden wegen der unzureichen- 
den Ausstattung nicht oder nur unvoll- 
ständig nachkommen können (BVerfG 
U. v. 24.04.2013, 1 BvR 1215/07, Rn. 
204 ff, 217 — ATDG = NJW 2013, 
1517). Es ist unbestritten, dass die Auf- 
sichtsbehörden schon mit ihrer bisheri- 
gen Ausstattung den ihnen obliegenden 
Aufgaben nicht angemessen nachkom- 
men können (Schulzki-Haddouti in 
Stiftung Datenschutz, Zukunft der infor- 
mationellen Selbstbestimmung, 2016, 
S. 111 ff.; diess, Zu kurz gekommen, c't 
17/2015, 76 ff.). 

Gemäß Art. 52 Abs. 2 DSGVO stellt 
jeder Mitgliedstaat sicher, „dass jede 
Aufsichtsbehörde mit den personellen, 
technischen und finanziellen Ressour- 
cen, Räumlichkeiten und Infrastruktu- 
ren ausgestattet wird, die sie benötigt, 
um ihre Aufgaben und Befugnisse auch 
im Rahmen der Amtshilfe, Zusammen- 
arbeit und Mitwirkung im Ausschuss ef- 
fektiv wahrnehmen zu können“. 

Die Mehrausgaben der Länder 
beschränken sich nicht auf die Wahl 
und Bestellung des Stellvertreters des 
gemeinsamen Vertreters im Europäi- 
schen Datenschutzausschuss gem. $ 17 
BDSG-neu. Insofern ist die Aussage der 
Gesetzesbegründung „Weiterer neuer 
Erfüllungsaufwand entsteht für die Ver- 
waltung nicht“ (S. 4) nicht zutreffend, 
wenn der Gesetzentwurf und die Umset- 
zung der DSGVO gemeinsam betrachtet 
werden. 

Eine nähere Bezifferung des Res- 
sourcenbedarfs bei den Ländern ist 
im Rahmen der vorliegenden Stellung- 
nahme nicht möglich. Hierfür bedarf 
es eigenständiger Untersuchungen. Un- 
abhängig hiervon und ungeachtet der 
teilweise sehr unterschiedlichen Aus- 
stattung der Aufsichtsbehörden in den 
Ländern ist im Rahmen einer überschlä- 
gigen Schätzung zumindest eine Ver- 
dreifachung des bisherigen Personals 
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und eine entsprechende Erweiterung der 
Ressourcen nötig, um die bestehenden 
und künftigen Aufgaben adäquat er- 
füllen zu können. Mit der Aufstockung 
des Personals sollte umgehend begon- 
nen werden um zu verhindern, dass bei 
kurzfristig nötigen Einstellungen nicht 
ausreichend qualifiziertes Personal ein- 
gestellt wird. Spätestens im Jahr 2020 
sollte eine umfassende Erhebung durch- 
geführt werden, ob und inwieweit die 
Ausstattung der Aufsichtsbehörden den 
neuen Anforderungen entspricht. 


C Einzelstellungnahme zum Entwurf 
eines neuen BDSG 


Zu 8 2 Begriffsbestimmungen 


Eine Wiederholung der Begriffsbe- 
stimmungen aus Art. 4 DSGVO, wie sie 
in Abs. 2 geplant ist, ist nicht zu empfeh- 
len. Vielmehr sollte auf die DSGVO ver- 
wiesen werden. Im Interesse der Rechts- 
klarheit besteht für den nationalen Ge- 
setzgeber ein sehr weit gehendes Verbot, 
europäische Regelungen zu wiederholen 
(Kühling, Martini u. a., Die Datenschutz- 
Grundverordnung und das nationale 
Recht, 2016, S. 6 ff.; vgl. auch die Ge- 
setzesbegründung S. 68). Für Begriffs- 
bestimmungen im Hinblick auf die JI- 
Richtlinie (Gesetzesbegründung S. 72) 
genügt ein Verweis auf die Geltung der 
Begriffsbestimmungen der DSGVO. 

In den in $ 2 BDSG-neu enthaltenen 
Begriffsbestimmungen fehlt eine Zuord- 
nung der in der DSGVO verwendeten 
Begriffe „Behörde“, „öffentliche Stel- 
le“ und „Unternehmen“ zu den auch im 
BDSG-neu verwendeten Begriffen „öf- 
fentliche Stelle“ und „nicht-öffentliche 
Stellen“. So sind gemäß Art. 4 Ziffer 18 
DSGVO auch öffentliche Stellen in öf- 
fentlich-rechtlicher Trägerschaft, die am 
Wettbewerb teilnehmen, als Unterneh- 
men zu betrachten, während nach dem 
$ 2 Abs. 2 Ziff. 3 BDSG-neu nur privat- 
rechtlich organisierte öffentliche Stellen 
(des Bundes) als nicht-öffentliche Stel- 
len angesehen werden. 

Es wird darauf hingewiesen, dass durch 
das Außerkrafttreten des bisherigen 
Bundesdatenschutzgesetzes (BDSG-alt) 
gemäß Art. 10 am 25.05.2018 auch die 
darin enthaltenen Begriffsbestimmungen 
aufgehoben werden, auf die weiterhin in 
Kraft befindliche spezifische Regelun- 


gen im deutschen Recht Bezug nehmen. 
Es wird deshalb angeregt, insofern eine 
Übergangsregelung vorzusehen. 


Zu 83 Verarbeitung durch 
öffentliche Stellen 


Die Regelung ist wegen Art. 6 Abs. 1 
lit. e überflüssig, aber auch unschädlich. 
Es wird empfohlen, eine explizite Be- 
zugnahme zu Art. 6 Abs. 1 lite DSGVO 
aufzunehmen. 


Zu $ 4 Videoüberwachung 


Eine materielle Sonderregelung zur 
Videoüberwachung ist unzulässig, da 
insofern Art. 6 DSGVO weitgehend 
abschließend ist (Kühling/Martini u. a. 
S. 343 ff.; Roßnagel, Europäische Daten- 
schutz-Grundverordnung, 2016, S. 52 £.). 
Dies gilt auch für den geplanten Abs. 1 
Nr. 2, wonach bei Videoüberwachung 
durch nicht-öffentliche Stellen Sicher- 
heitsbelange ‚in besonderem Maße zu 
berücksichtigen“ sind. Diese Vorrangre- 
gelung bewirkt bei der Interessenabwä- 
gung einen Vorrang von Sicherheitsin- 
teressen bei Öffentlicher Videoüberwa- 
chung, nimmt private Stellen für öffent- 
liche polizeiliche Sicherheitsbelange 
in Anspruch und verletzt dadurch die 
Gesetzgebungsbefugnis der Länder, den 
Verhältnismäßigkeitsgrundsatz sowie 
spezifische Grundrechte wie z. B. das 
Versammlungsrecht gemäß Art. 8 GG. 
Dieses Ergebnis wird verstärkt durch 
die Regelung in Abs. 3, die bei Erforder- 
lichkeit „zur Abwehr von Gefahren für 
die staatliche und öffentliche Sicherheit 
sowie zur Verfolgung von Straftaten“ 
ohne eine Angemessenheitsprüfung eine 
Zweckänderung erlaubt. Auf die geson- 
derte Stellungnahme der DVD und des 
Netzwerks Datenschutzexpertise vom 
06.11.2016 wird verwiesen (https:// 
www.datenschutzverein.de/wp-content/ 
uploads/2016/11/Stellungnahme_ 
Videoueberwachung_06112016.pdf oder 
https://dvd-ev.de/pm/stvue). Siehe auch 
Seite 188 in diesem Heft. 


Zu $ 11 Ernennung und Amtszeit 
der BfDI 


Die $ 22 Abs. 1 BDSG-alt überneh- 


mende Regelung des Abs. 1 sieht vor, 
dass der deutsche Bundestag die Bun- 
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desbeauftragte für den Datenschutz und 
die Informationsfreiheit (BfDI) „ohne 
Aussprache auf Vorschlag der Bundes- 
regierung (...) mit mehr als der Hälfte 
der gesetzlichen Zahl seiner Mitglieder“ 
wählt. Die Wahl setzt voraus, dass die 
BfDI „das 35. Lebensjahr vollendet“ 
hat. In Abs. 1 S. 4 wird geregelt: „Sie 
oder er muss über die für die Erfüllung 
ihrer oder seiner Aufgaben und Aus- 
übung ihrer oder seiner Befugnisse er- 
forderliche Qualifikation, Erfahrung und 
Sachkunde insbesondere im Bereich des 
Schutzes personenbezogener Daten ver- 
fügen. Insbesondere muss die oder der 
Bundesbeauftragte über durch einschlä- 
gige Berufserfahrung nachgewiesene 
Kenntnisse des deutschen und europäi- 
schen Datenschutzrechts verfügen und 
die Befähigung zum Richteramt oder 
höheren Dienst haben.“ Gemäß Abs. 3 
ist bei einer Amtszeit von 5 Jahren eine 
einmalige Wiederwahl zulässig. 

Die Beachtung rechtlicher Anforde- 
rungen an das Verfahren der Bestellung 
und die Qualifikation der Datenschutz- 
beauftragten stand lange Zeit nicht im 
Fokus öffentlicher Diskussion. Dies hat 
sich mit dem Gutachten des Netzwerks 
Datenschutzexpertise vom 17.11.2016 
geändert, in dem sowohl die rechtlichen 
Anforderungen wie auch die Praxis kri- 
tisch hinterfragt werden. Dabei erweist 
sich, dass die bisherige Praxis, die mit 
dem vorliegenden Regelungsvorschlag 
fortgeschrieben werden soll, gegen Vor- 
gaben des Europarechts und des Ver- 
fassungsrechts verstößt (http://www. 
netzwerk-datenschutzexpertise.de/sites/ 
default/files/gut_2016_auswahlblfdi5. 
pdf). 

Der Regelungsvorschlag sieht keine 
öffentliche Ausschreibung der Stelle 
der BfDI vor und schließt ausdrücklich 
eine Aussprache über die Wahl aus. Dies 
steht in Widerspruch zu Art. 53 Abs. 1 
DSGVO, wonach das Mitglied der Auf- 
sichtsbehörde „im Wege eines trans- 
parenten Verfahrens ernannt wird“. 
Die Transparenzanforderung zielt auf 
eine öffentliche demokratische Debatte 
zur Bestellung und die Gewährleistung 
einer hohen Legitimation und gleicher 
Chancen der qualifizierten Kandidaten 
ab. Dies war bisher und würde auch 
künftig nicht gewährleistet. Die geplan- 
te Regelung ist insofern europarechts- 
widrig. 
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Art. 33 Abs. 2 Grundgesetz (GG) 
ist zu beachten, wonach jeder Deutsche 
„nach seiner Eignung, Befähigung und 
fachlichen Leistung gleichen Zugang zu 
jedem öffentlichen Amt“ hat. 

Das Erfordernis eines Mindestalters 
von 35 Jahren stellt eine nicht gerecht- 
fertigte Altersdiskriminierung dar (Art. 3 
Abs. 1 GG, Art. 21 Abs. 1 Europäische 
Grundrechte-Charta — GRCh). Die ab- 
schließenden persönlichen Anforderun- 
gen des Art. 53 Abs. 2 DSGVO stellen 
nicht auf das Alter ab. Der Verweis der 
Gesetzesbegründung (S. 77) auf Art. 54 
Abs. 1 lit. b DSGVO („sonstige Voraus- 
setzungen“) legitimiert keine unsachli- 
chen Anforderungen. Personen unter 35 
Jahren können die geforderte Erfahrung 
und Sachkunde vorweisen. Diese Rege- 
lung ist daher verfassungs- und europa- 
rechtswidrig. 

Das Erfordernis der Befähigung zum 
Richteramt oder höheren Dienst war 
historisch begründet, als die Daten- 
schutzbeauftragten weitgehend nur für 
die Kontrolle des öffentlichen Bereichs 
zuständig waren. Das Erfordernis findet 
sich nicht in Art. 53 Abs. 2 DSGVO und 
ist auch keine adäquate Beschreibung 
der Qualifikation und Sachkunde. Daher 
sollte auf diese Einschränkung verzich- 
tet werden. 

Die Beschränkung auf eine einmalige 
Wiederwahl findet sich nicht in der ab- 
schließenden Aufzählung der personel- 
len Anforderungen an das Mitglied der 
Aufsichtsbehörde in Art. 53 Abs. 2 DS- 
GVO. Amtsinhaber, die zwei Amtsperi- 
oden absolviert haben, können regelmä- 
Big die dort geforderte Erfahrung, Qua- 
lifikation und Sachkunde vorweisen. In 
der Praxis hat sich gezeigt, dass durch 
mehrfach wiedergewählte Datenschutz- 
beauftragte eine qualifizierte Amtsaus- 
übung gewährleistet wird. Angebliche 
Gründe für eine Beschränkung, etwa 
Erlahmen der Innovationsbereitschaft, 
treffen nicht zu. Es gibt keine Wider- 
wahlverbote in vergleichbaren Positi- 
onen. Diese Regelung ist daher verfas- 
sungs- und europarechtswidrig. 


Zu $ 13 Rechte und Pflichten der 
BfDI 


In Abs. 5 S. 2 ist vorgesehen, dass die 
BfDI keine Aussagebefugnis als Zeu- 
gin hat, soweit die Aussage laufende 


oder abgeschlossene Vorgänge betrifft, 
„die dem Kernbereich exekutiver Ei- 
genverantwortung der Bundesregierung 
zuzurechnen sind oder sein könnten“. In 
diesen Fällen muss das „Benehmen mit 
der Bundesregierung“ hergestellt wer- 
den. Was zum Kernbereich exekutiver 
Eigenverantwortung der Bundesregie- 
rung zu zählen ist, ist völlig unklar. Da- 
durch, dass schon die Möglichkeit eines 
solchen Betroffenseins dazu führt, dass 
die Aussagebefugnis von einem Beneh- 
men mit der Bundesregierung abhängig 
gemacht wird, wird die Unabhängigkeit 
der BfDI unangemessen beeinträchtigt. 
Es wird vorgeschlagen, insofern eine 
Kann-Regelung bzgl. der Aussagever- 
weigerung vorzusehen sowie eine Soll- 
regelung in Bezug auf das Benehmen 
mit der Bundesregierung. 


Zu $ 14 Aufgaben der BfDI 


Die DSGVO sieht als Aufgabe von 
Aufsichtsbehörden auch „Datenschutz- 
zertifizierungsmechanismen und von 
Datenschutzsiegeln und -prüfzeichen 
nach Artikel 42 Absatz 1“ vor. (Art. 57 
Abs. 1 lit.n DSGVO). Datenschutz-Zer- 
tifizierung gibt es bisher in Deutschland 
zwar nur auf Länderseite und ist auch 
künftig als Aufgabe für die BfDI nicht 
vorgesehen. Dies entspricht nicht den 
aktuellen technischen und rechtlichen 
Erfordernissen, die in der DSGVO er- 
kannt und festgelegt werden. 


Zu 8 16 Befugnisse der BfDI 


In Abs. 2 ist vorgesehen, dass au- 
Berhalb des Anwendungsbereichs der 
DSGVO bei der Feststellung von Da- 
tenschutzverstößen durch öffentliche 
Stellen — wie bisher — lediglich als 
„sanktion“ eine Beanstandung zuläs- 
sig ist. Diese Regelung ignoriert die 
Regelungsintention des neuen europä- 
ischen Datenschutzrechts, angesichts 
der großen Umsetzungsdefizite beim 
Datenschutz — auch im öffentlichen Be- 
reich — wirksame Sanktionen zu ermög- 
lichen. Beanstandungen haben sich 
insbesondere im Sicherheitsbereich oft 
als wirkungslos erwiesen, da sie kein 
rechtliches Instrument sind, mit dem 
Verantwortliche zu rechtskonformem 
Vorgehen gebracht werden können. Dies 
haben zuletzt die Datenschutzverstö- 
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ße durch den Bundesnachrichtendienst 
(BND) gezeigt. Mit der Regelung wird 
gerade im Bereich der JI-Richtlinie so- 
wie der Geheimdienste auf eine effek- 
tive Sanktionsform verzichtet. Sollen 
finanzielle Sanktionen sowie Unterlas- 
sungs- und Beseitigungsverfügungen 
nicht möglich sein, so muss der BfDI 
zumindest ein Klagerecht vor Gericht 
gegen rechtswidrige Datenverarbeitung 
eröffnet werden. 

Die Regelung des Abs. 3 S. 1, wonach 
sich die Befugnisse der BfDI auch auf 
Post- und Telekommunikationsge- 
heimnisse sowie auf Steuergeheimnis- 
se erstrecken, ist historisch begründet 
und inzwischen eine Selbstverständ- 
lichkeit, welcher es nicht bedarf. Auf sie 
sollte deshalb verzichtet werden. 


Zu $ 17 Vertretung im Europäischen 
Datenschutzausschuss (EDSA) 


In Abs. 1 ist vorgesehen, dass die BfDI 
die gemeinsame Vertretung Deutsch- 
lands im Datenschutzausschuss (EDSA) 
wahrnimmt. Die Stellvertretung soll aus 
den Leitungen der Landes-Aufsichts- 
behörden vom Bundesrat ausgewählt 
werden. Bei Angelegenheiten, die ins- 
besondere die Länderaufsicht betreffen, 
soll nach Abs. 2 im EDSA vorrangig die 
Stellvertretung tätig werden. Diese Re- 
gelung ist nicht sachgerecht und beein- 
trächtigt die Unabhängigkeit der Lan- 
desaufsichtsbehörden. 

Hauptaufgabe des EDSA wird die 
Festlegung von Positionen im Bereich 
des Datenschutzes im nicht-öffentli- 
chen Bereich (oder in der Begrifflich- 
keit der DSGVO: für Unternehmen) 
sein. Insofern hat die BfDI — abgesehen 
von Post- und Telekommunikationsun- 
ternehmen — weder Kompetenzen noch 
Erfahrungen. Diese liegen vielmehr bei 
den Landesaufsichtsbehörden. 

Durch die Bestimmung der Stell- 
vertretung durch den Bundesrat wird 
dem Bundesrat die Möglichkeit eröff- 
net, am Willen der Aufsichtsbehörden 
vorbei unter Anlegung sachfremder 
Erwägungen für diese deren Vertre- 
tung zu benennen. Dies kann zur Folge 
haben, dass die dadurch in den EDSA 
eingebrachten Positionen nicht die der 
unabhängigen Aufsichtsbehörden re- 
präsentieren. Die Regelung ist völlig 
unangemessen. 
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Es wird vorgeschlagen, die Bestim- 
mung der Vertretung und der Stellvertre- 
tung der deutschen Aufsichtsbehörden 
diesen selbst zu überlassen. Diese soll- 
ten mit qualifizierter Mehrheit ihre Ver- 
tretung im EDSA selbst wählen. Die- 
ser Vorschlag entspricht der „Kühlungs- 
borner Erklärung“ der unabhängigen 
Datenschutzbehörden der Länder vom 
10.11.2016  (https://www.datenschutz. 
de/kuehlungsborner-erklaerung-der- 
unabhaengigen-datenschutzbehoerden- 
der-laender-vom-10-november-2016/). 


Zu 8 18 Verfahren der Zusammenar- 
beit der Aufsichtsbehörden 


Zur Bestimmung von gemeinsamen 
Positionen der deutschen Aufsichtsbe- 
hörden soll gemäß Abs. 2 zunächst ein 
Einigungsverfahren angestrebt wer- 
den. Gelingt eine Einigung nicht, so 
soll der Vertreter bzw. in Länderangele- 
genheiten der Stellvertreter ein Bestim- 
mungsrecht haben, „wenn nicht die Auf- 
sichtsbehörden von Bund und Ländern 
einen anderen Standpunkt mit einfacher 
Mehrheit beschließen“. Wegen der nicht 
repräsentativen Festlegung der Vertre- 
tung (s. o. zu $ 17) wird damit in die 
Unabhängigkeit der Aufsichtsbehörden 
unangemessen eingegriffen. 

Nach Abs. 3 S. 2 soll im Falle, dass 
eine Einigung unter den deutschen Auf- 
sichtsbehörden nicht möglich ist, der 
Stellvertreter ein Bestimmungsrecht 
haben, wenn „die Angelegenheit die 
Wahrnehmung von Aufgaben betreffen, 
für welche die Länder alleine das Recht 
zur Gesetzgebung haben, oder welche 
die Einrichtung oder das Verfahren von 
Landesbehörden betrifft“. Die Regelung 
ist unklar: Das Recht der Gesetzgebung 
liegt in vielen Fällen des Datenschutz- 
rechtes, insbesondere auch im nicht-öf- 
fentlichen Bereich, beim Bund, während 
die hier in Frage stehende Verwaltungs- 
kompetenz bei den Ländern liegt. In der 
Regelung ist daher der Verweis auf die 
Gesetzgebungskompetenz zu streichen. 


Zu $ 22 Verarbeitung besonderer Ka- 
tegorien personenbezogener Daten 


In der Regelung werden wesentliche 
Inhalte des Art. 9 DSGVO wiederholt, 
ohne weitere Präzisierungen vorzu- 
nehmen. Diese Regelung ist wegen der 


reinen Paraphrasierung ohne eine zu- 
sätzliche Regelungsabsicht rechtswidrig 
(Kühling/Martini u. a., S. 6 ff. m. w. N.). 
Auf sie sollte verzichtet werden. 

In Abs. 2 werden Aussagen gemacht, 
was „angemessene und spezifische 
Maßnahmen zur Wahrung der Grund- 
rechte und Interessen der betroffenen 
Personen“ gemäß Art. 9 Abs. 1 DSGVO 
sind. Problematisch ist hierbei, dass auf 
die „Implementierungskosten“ Bezug 
genommen wird, die in Art. 332 DSGVO 
bzgl. der informationstechnischen Si- 
cherheit, nicht aber bzgl. der Gestaltung 
von Verfahren nach Art. 25 DSGVO 
oder materiell-prozessualen Vorkehrun- 
gen relevant sein sollen. Selbstverständ- 
lich können solche Kosten bei Angemes- 
senheitsentscheidungen eine Rolle spie- 
len. Deren explizite Erwähnung eröffnet 
aber die Möglichkeit, spezifische Maß- 
nahmen allein aus Kostengründen zu- 
rückzuweisen. Wenig förderlich ist auch 
der Verweis auf Sensibilisierungs- und 
Schulungsmaßnahmen (Abs. 2 Satz 2 
Nr. 2). Die in Abs. 2 enthaltenen Erwäh- 
nungen sind nicht vollständig und wei- 
sen erst recht nicht auf eine Priorisie- 
rung hin. Die Regelung ist daher nicht 
geeignet, eine Konkretisierung der euro- 
päischen Vorgaben zu bewirken. Daher 
sollte auf sie verzichtet werden. 

Es ist nicht erkennbar, weshalb die An- 
wendung von Abs. 2 im Fall des Abs. 1 
lit. b (Datenverarbeitung im Gesund- 
heits- und Sozialbereich durch Be- 
rufsgeheimnisträger) ausgeschlossen 
wird. Zwar werden auch in Art. 9 Abs. 3 
DSGVO mit der Regelung zu Berufsge- 
heimnisträgern die angemessenen spezi- 
fischen Sicherungsmaßnahmen erwähnt, 
doch erfolgt dies systematisch an einem 
anderen Ort. Es dürfte nicht bestritten 
werden können, dass solche Maßnah- 
men auch und gerade erforderlich sind, 
wenn hochsensible Daten, die Berufs- 
geheimnissen unterliegen, verarbeitet 
werden. 


Zu $ 23 Zweckänderungen 


In der Norm werden eine Vielzahl von 
Zweckänderungen erlaubt, die schon 
derzeit ihre Erlaubnisgrundlage in der 
DSGVO finden. Insofern sind sie über- 
flüssig und wegen der reinen Wieder- 
holung europäischer Normvorgaben 
unzulässig. 
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In Abs. 2 Nr. 1-3 werden Zweckän- 
derungen für nicht-öffentliche Stel- 
len erlaubt, für Sicherheitszwecke, zur 
Geltendmachung rechtlicher Ansprüche 
und zur Wahrung berechtigter Interes- 
sen. Dies entspricht den in Art. 6 Abs. 1 
DSGVO vorgegebenen Verarbeitungs- 
befugnissen, ohne jedoch eine Abwä- 
gungsklausel zu enthalten, über welche 
die schutzwürdigen Betroffeneninter- 
essen zu berücksichtigen sind, so wie 
dies Art. 6 Abs. 1 lit. £ DSGVO explizit 
fordert. Damit unterschreiten diese Nor- 
men in unzulässiger Weise das europäi- 
sche Schutzniveau. Auf sie kann wegen 
der bestehenden europäischen rechtli- 
chen Rahmenbedingungen vollständig 
verzichtet werden. 

Die in Abs. 3 enthaltenen Zweckän- 
derungsregelungen für sensitive Daten 
nach Art. 9 DSGVO enthalten auch kei- 
ne expliziten Abwägungspflichten und 
paraphrasieren Art. 9 Abs. 2 DSGVO. 
Auch auf diese allgemeinen Regelun- 
gen sollte vollständig verzichtet werden. 
Bisher besteht im nationalen Recht eine 
Vielzahl konkretisierender bereichsspe- 
zifischer Regelungen, z. B. in den So- 
zialgesetzbüchern, die ihre Gültigkeit 
behalten. Diese genügen zur Wahrung 
der bisherigen — legitimen — Verarbei- 
tungsbefugnisse. 


Zu $ 24 Verarbeitung von Beschäftig- 
tendaten 


Die Wiederauflage des völlig miss- 
glückten $ 32 BDSG-alt ist abzulehnen. 
Diese Norm führte zu Rechtsunsicher- 
heit, nicht zur Präzisierung von Verarbei- 
tungsbefugnissen und Betroffenenrech- 
ten. Zudem darf bezweifelt werden, dass 
die vorgesehene Regelung den Anforde- 
rungen des Art. 88 Abs. 2 DSGVO stand- 
hält. Es bedarf vielmehr eines umfassen- 
den Beschäftigtendatenschutzgesetzes, 
wozu das Netzwerk Datenschutzexper- 
tise die relevanten Rahmenbedingungen 
in seinem Gutachten vom 08.04.2016 
benannt hat _ (http://www.netzwerk- 
datenschutzexpertise.de/sites/default/ 
files/gut_2016_dsgvo_beschds.pdf). 


Zu 8 25 Zwecke der wissenschaftli- 
chen Forschung 


Die geplante Forschungsregelung ist 
unvollständig und unterschreitet das in 
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der DSGVO vorgeschriebene Niveau. 
Unvollständig ist Abs. I im Hinblick auf 
sensitive Daten gemäß Art. 9 Abs. I DS- 
GVO dadurch, dass eine Konkretisierung 
von angemessenen Schutzmaßnahmen, 
wie in Art. 9 Abs. 2 lit. | DSGVO ge- 
fordert, unterlassen wird. Art. 89 Abs. 1 
DSGVO sieht vor, dass die Datenver- 
arbeitung zu „Archivzwecken, zu wis- 
senschaftlichen oder historischen For- 
schungszwecken oder zu statistischen 
Zwecken (...) geeigneten Garantien für 
die Rechte und Freiheiten der betroffe- 
nen Person“ zu unterliegen hat. Derartige 
Schranken enthält der vorgelegte Entwurf 
nicht. Unvollständig ist die Regelung 
auch im Hinblick auf die Verarbeitung 
von Berufsgeheimnissen, z. B. dem Pati- 
entengeheimnis unterliegenden Daten, da 
insofern weiterhin $ 203 StGB als Hin- 
dernis zur Einbeziehung in Forschungs- 
vorhaben bestehen bleibt. Tatsächlich 
werden keine ausreichenden und effekti- 
ven Schutzmaßnahmen geregelt, sondern 
lediglich ein Minimalkatalog beliebiger 
Vorkehrungen. So wird es z. B. unterlas- 
sen, ein explizites beschlagnahmesiche- 
res Forschungsgeheimnis festzuschrei- 
ben. Unbefriedigend ist die Regelung 
insgesamt, da sie nicht das Ziel verfolgt, 
den Wirrwarr unterschiedlicher spezifi- 
scher Forschungsklauseln im Bundes- 
und im Landesrecht zu vereinheitlichen 
und zu modernisieren. Zur Sicherung des 
Datenschutzes in der Forschung und ei- 
ner damit verbundenen Stärkung des For- 
schungsstandortes Deutschland bedarf es 
eines umfassenden Forschungsgesetzes, 
das, um auch die Regelungsebene der 
Länder mit einzuschließen, als Bund- 
Länder-Staatsvertrag erlassen werden 
sollte. 


Zu $ 26 Berufsgeheimnisse 


Die Regelung beschreibt nur völlig 
unzureichend, welche Daten mit ihr er- 
fasst werden sollen und ist deshalb zu 
unbestimmt: Die Formulierung „Da- 
ten, die nach einer Rechtsvorschrift 
oder ihrem Wesen nach, namentlich 
wegen des überwiegenden rechtlichen 
Interesses eines Dritten, einer Geheim- 
haltungspflicht unterliegen“ könnte auf 
jede Form eines spezifischen Geheim- 
nisses angewendet werden, nicht nur auf 
Berufsgeheimnisse nach $ 203 Abs. 1, 
(2a,) 3 StGB, $ 53, 54 StPO, sondern 


auch auf das Sozialgeheimnis nach $ 35 
SGB I, ja sogar auf weitgehend unregu- 
liert bleibende Betriebs- und Geschäfts- 
geheimnisse. In der Literatur wird diese 
Regelung - fälschlich — gar auf Amtsge- 
heimnisse wie z. B. das Statistik- oder 
das Meldegeheimnis erstreckt (Paal/ 
Pauly, Datenschutz-Grundverordnung, 
2016, Art. 90 Rn. 6). Es bedarf vielmehr 
einer rechtssicheren Verweisung auf ei- 
nen engen Kranz aus besonderen Grün- 
den gesondert zu behandelnder Daten. 

Gemäß den Absätzen 1 und 2 wer- 
den das Informationsrecht nach Art. 14 
DSGVO und das Auskunftsrecht nach 
Art. 15 DSGVO eingeschränkt, „wenn 
die Daten geheim gehalten werden müs- 
sen und deswegen das Interesse der be- 
troffenen Person an der Informationser- 
teilung zurücktreten muss“. Die Unbe- 
stimmtheit der erfassten Daten erstreckt 
sich auf diese Beschränkung informatio- 
neller Selbstbestimmung generell und des 
Auskunftsanspruchs als „Magna Charta 
des Datenschutzes“ (s. u. zu $ 32). Da- 
mit wird die grundlegende Garantie des 
Auskunftsanspruchs in Art. 8 Abs. 2 S. 2 
GRCh verletzt. Diese Unbestimmtheit 
wird erweitert durch eine völlig offene 
Abwägungsnorm, die weder für Anwen- 
der noch für Betroffene einschätz- und 
berechenbar ist. Die Einschränkung des 
Auskunftsanspruchs muss sich auf spezi- 
fische Fallgestaltungen beschränken, die 
notwendig und verhältnismäßig sind. Die 
vorliegende Regelung genügt diesen An- 
forderungen nicht und ist europarechts- 
und verfassungswidrig. 

In Abs. 3 werden die in Abs. I be- 
schriebenen Daten pauschal einer stark 
beschnittenen Datenschutzkontrolle 
durch die zuständige Aufsicht unter- 
worfen. Kontrollbefugnisse sollen nur 
zwecks Überprüfung der Einhaltung des 
Art. 25 DSGVO bestehen. Art. 25 DS- 
GVO bezieht sich auf die Technikgestal- 
tung und datenschutzfreundliche Vor- 
einstellungen, also auf technische und 
organisatorische Maßnahmen. Dabei 
bleibt der vorgesehene Kontrollumfang 
unklar, da er Art. 32, d. h. die techni- 
sche Sicherheit der Verarbeitung, nicht 
umfasst. Umfasst sein sollen offensicht- 
lich auch nicht Fragen der materiellen 
Zulässigkeit der Verarbeitung. Bisher 
ist es unbestritten, dass zu den in die 
Kontrolle einbezogenen Daten auch Be- 
rufsgeheimnisse gehören. Bisher gehört 
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die Kontrolle der Wahrung des Patien- 
ten- und den Sozialgeheimnisses zu den 
Schwerpunkten der aufsichtsbehördli- 
chen Tätigkeit. Diese würde vollständig 
ausgeschlossen, selbst dann, wenn die 
Kontrolle auf Beschwerde von Betroffe- 
nen erfolgen würde. Im ärztlichen und 
psychologischen Bereich wurde die Da- 
tenschutzkontrolle bisher auch von den 
geprüften Stellen nicht in Frage gestellt. 
Sie ist vielmehr oft ein Instrument, um 
das Vertrauen in die jeweiligen Stellen 
zu erhöhen. 

Durch die vorgesehene weitgehende 
Ausnahme von der Datenschutzkontrol- 
le wird das von der DSGVO verfolgte 
Ziel einer weitgehenden Harmonisie- 
rung verfehlt. Sie hat auch zur Folge, 
dass vom Europäischen Datenschutz- 
ausschuss gemäß Art. 70 DSGVO er- 
arbeitete Leitlinien, Empfehlungen und 
bewährte Verfahren nur begrenzt ein- 
und umgesetzt werden können. 

Die Begründung (S. 93) verweist 
auf die bundesverfassungsgerichtliche 
Rechtsprechung, wonach das Mandats- 
verhältnis nicht mit Unsicherheiten hin- 
sichtlich seiner Vertraulichkeit belastet 
werden darf (BVerfG U. v. 12.04.2005, 
NJW 2005, S. 1917). Dies schließt 
aber eine externe Kontrolle der Recht- 
mäßigkeit des Berufsgeheimnisträgers 
nicht aus. Es genügt, dass Abs. 2 S. 2 
die Geheimhaltungspflicht auf die Auf- 
sichtsbehörde verlängert und ein Be- 
weisverwertungsverbot im Strafverfah- 
ren schafft. Politisch angegriffen wird 
die Kontrollbefugnis der Datenschutz- 
aufsicht im nicht-öffentlichen Bereich 
ausschließlich durch Anwaltsorgani- 
sationen. Praktische Probleme sind in 
diesem Bereich aber in der 40-jährigen 
Aufsichtsgeschichte nur in wenigen 
Einzelfällen aufgetreten, die durch eine 
Berücksichtigung des Mandantenge- 
heimnisses bei der Datenschutzkontrol- 
le aufgelöst werden konnten. Der An- 
waltschaft geht es darum, sich der un- 
abhängigen Datenschutzkontrolle nicht 
zum Schutz der Mandanten und des 
Mandantengeheimnisses zu entziehen, 
sondern zur Freistellung von Kontrolle 
generell. Es ist unbestreitbar, dass auch 
Anwälte dem Datenschutzrecht unter- 
liegen und unterliegen müssen (ausführ- 
lich dazu Weichert NJW 2009, 550 ff.; 
Weichert in Däubler/Klebe/Wedde/Wei- 
chert, Bundesdatenschutzgesetz, 5. Aufl. 
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2016, 8 38 Rn. 11 m. w.N.). 

Es ist nicht erkennbar, wie eine Da- 
tenschutzkontrolle durchgeführt wer- 
den soll, die sich auf Art. 25 DSGVO 
beschränkt, da mit einer Kontrolle von 
Art. 25 DSGVO oft zwangsläufig die 
Kenntnisnahme von Berufsgeheimnis- 
sen verbunden ist. Eine Trennung auf 
Kontrollebene zwischen technischem 
und materiellem Datenschutz ist zu- 
meist nicht möglich. 

Art. 90 DSGVO erlaubt nur Ein- 
schränkungen der Datenschutzkontrolle, 
die „notwendig und verhältnismäßig“ 
sind. Hierzu gibt es weder im Gesetzes- 
text noch in der Begründung Ausfüh- 
rungen. Vielmehr ist die geplante Ein- 
schränkung in ihrem Umfang sachlich 
nicht begründet und nicht zu begründen. 
Datenschutzverstöße durch Berufsge- 
heimnisträger werden dadurch vollstän- 
dig kontroll- und damit auch sanktions- 
frei gestellt, so dass die Schutzfunktion 
unabhängiger Datenschutzkontrolle, die 
in Art. 8 Abs. 3 GRCh ausdrücklich fest- 
geschrieben ist, verloren geht. Die Re- 
gelung ist daher verfassungs- und euro- 
parechtswidrig. Auf sie kann und sollte 
ersatzlos verzichtet werden. 


Zu $ 27 Datenübermittlung an Aus- 
kunfteien 


Die Übernahme dieser Regelung aus 
dem BDSG-alt ist in Bezug auf den Re- 
gelungsinhalt grundsätzlich zu begrü- 
Ben. Es ist aber in Frage zu stellen, ob 
„die Ermittlung der Kreditwürdigkeit 
und die Erteilung von Bonitätsauskünf- 
ten“ ein „wichtiges Ziel des allgemeinen 
öffentlichen Interesses“ der Bundesre- 
publik Deutschland darstellt und damit, 
ob die Öffnungsklausel aus Art. 6 Abs. 4 
1. V. m. Art. 23 Abs. 1 DSGVO greift. 


Zu $ 28 Scoring 


Mit der Regelung soll der bisherige 
$ 28b BDSG-alt fortgelten. Es ist frag- 
lich, inwieweit dies durch die abschlie- 
Benden Regelungen des Art. 6 Abs. 1 
DSGVO ausgeschlossen ist. Wenn dies 
verneint wird, sind gemäß Art. 22 Abs. 
2 lit. b DSGVO in jedem Fall angemes- 
sene Maßnahmen zur Wahrung der 
Rechte und Freiheiten und berechtigten 
Interessen der Betroffenen zu gewähr- 
leisten (Roßnagel, S. 141; Kühling/Mar- 


tini u. a., S. 440 ff.). Angesichts der in 
Deutschland gesammelten Erkenntnisse 
zum Scoring ist fraglich, ob dies der 
Fall ist. So zeigt sich, dass bei der Ein- 
grenzung der zulässigen Datenarten und 
Quellen, hinsichtlich der Einbeziehung 
von Sekundärdaten, der Kontrolle der 
Verfahren und der geforderten Relevanz 
und Prognosegüte große Regelungsdefi- 
zite bestehen und neue Formen des Sco- 
ring, die über die klassische Bonitätsbe- 
wertung hinausgehen, nicht hinreichend 
abgedeckt sind (ausführlich Unabhän- 
giges Landeszentrum für Datenschutz 
Schleswig-Holstein/GP _Forschungs- 
gruppe, Scoring nach der Datenschutz- 
Novelle 2009 und neue Entwicklungen, 
2014, http://www.bmjv.de/SharedDocs/ 
Downloads/DE/PDF/Scoring-Studie. 
pdf? __blob=publicationFile&v=3). 


Zu $ 30 Informationspflichten bei der 
Erhebung bei Betroffenen 


Nach Abs. 1 Nr. 2 rechtfertigt schon 
ein „unverhältnismäßiger Aufwand“ 
den Verzicht auf Informationen nach 
Art. 13 DSGVO zur Verarbeitung bei ei- 
ner Betroffenenerhebung. Diese äußerst 
unbestimmte Norm ermöglicht es Ver- 
antwortlichen, ohne weiteren Rechtfer- 
tigungsbedarf keine Betroffeneninfor- 
mationen bereitzustellen. Die Schwelle 
zur Rechtfertigung fehlender Transpa- 
renz ist zu erhöhen. 

Entgegen der Regelung in Abs. 3 Satz 2 
ist sofort mit der Aktivierung von Ka- 
meras über eine Videoüberwachung zu 
informieren und nicht erst zum frühest- 
möglichen Zeitpunkt. Die Regelung bietet 
Verantwortlichen Schlupflöcher, den Zeit- 
punkt nach hinten zu verlagern. Hier muss 
ein Verringern des bisherigen Niveaus ($ 
6a Abs. 2 BDSG-alt) vermieden werden. 


Zu $ 31 Informationspflichten bei 
Dritterhebung 


Gemäß Abs. 1 Nr. 1 lit. a genügt schon 
eine Gefährdung der ordnungsgemä- 
ßen Erfüllung der Aufgaben einer öf- 
fentlichen Stelle, um auf eine Information 
der Betroffenen nach Art. 14 DSGVO zu 
verzichten. Angemessen ist nur eine hö- 
here Schwelle, etwa die Beeinträchtigung 
einer zulässigen Aufgabenerfüllung. 

Abs. 1 Nr. 2 lit. a legitimiert die Nicht- 
information der Betroffenen, wenn eine 
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erhebliche Gefährdung der Geschäfts- 
zwecke des Verantwortlichen ange- 
nommen wird. Dies eröffnet ein hohes 
Missbrauchspotenzial, da die Geschäfts- 
zwecke einseitig durch den Verantwortli- 
chen definiert werden. Es bedarf insofern 
ergänzender Schutzmaßnahmen. Die in 
Abs. 2 genannten Vorkehrungen, die zu 
„geeigneten Maßnahmen zur Informati- 
on für die Öffentlichkeit“ verpflichten, 
genügen zur Verhinderung von Miss- 
brauch der Transparenzausnahme nicht. 


Zu $ 32 Einschränkung des Aus- 
kunftsanspruchs 


Abs. 1 Nr. 1 rechtfertigt die Aus- 
kunftsverweigerung bei Vorliegen eines 
Grundes zum Verzicht auf Informati- 
onen nach den $$ 30, 31. Dies hat zur 
Folge, dass schon mit der Gefährdung 
der Aufgabenerfüllung oder der erheb- 
lichen Gefährdung der Geschäftszwecke 
die Auskunftsverweigerung begründet 
werden kann. Angesichts des hohen 
Rangs des grundrechtlich in Art. 8 Abs. 
2S.2 GRCh garantierten Anspruchs auf 
Auskunft — der Magna Charta des Da- 
tenschutzes (z. B. Mallmann in Simitis, 
BDSG, 8. Aufl. 2014, $ 19 Rn. 1) - ist 
dies unverhältnismäßig. 

Dies gilt erst recht für die Möglich- 
keit für nicht-öffentliche Stellen nach 
Abs. 2, die Auskunft unter Verweis auf 
die Wahrung von Geschäftsgeheimnis- 
sen zu verweigern. Individuelle Daten 
eines Betroffenen können nicht als Ge- 
heimnisse diesem gegenüber anerkannt 
werden (ULD/GP Forschungsgruppe, 
Scoring-Gutachten, S. 44 ff. gegen BGH 
NJW 2014, 341). Die Ausnahme von der 
Auskunft ist ersatzlos zu streichen. 


Zu 8 33 Einschränkung der Lö- 
schungsverpflichtung 


Abs. 1 sieht vor, dass keine Lösch- 
pflicht besteht, „wenn eine Löschung we- 
gen der besonderen Art der Speicherung 
nicht oder nur mit unverhältnismäßi- 
gem Aufwand möglich ist“. Diese Re- 
gelung steht im Widerspruch zu Art. 25, 
32 DSGVO zu den technisch-organisa- 
torischen Maßnahmen, wozu auch die 
Intervenierbarkeit von Daten gehört, die 
bei der Gestaltung der Systeme beachtet 
werden muss. Automatisierte Verfahren, 
die in der Vergangenheit nicht in der 
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Lage waren, spezifische Löschungen 
vorzunehmen, wurden inzwischen über- 
arbeitet. Die Norm würde dazu einladen, 
Verfahren zu etablieren, mit denen man- 
gels Löschbarkeit der Daten auf obli- 
gatorische Datenlöschungen verzichtet 
werden könnte. 


Zu $ 34 Einschränkung des Wider- 
spruchsrechts 


Nach der Regelung besteht kein Recht 
auf Widerspruch nach Art. 21 Abs. 1 DS- 
GVO, wenn die Verarbeitung erforder- 
lich und der Widerspruch „die Verwirk- 
lichung des Zwecks der Verarbeitung 
unmöglich machen oder ernsthaft be- 
einträchtigen würde“. Die Verarbeitung 
der Daten soll nur für Zwecke des $ 22 
Abs. 1 (Erlaubnisnorm für sensitive Da- 
ten) zulässig sein. Eine Zweckänderung 
soll nur entsprechend Art. 21 Abs. 1 S.2 
DSGVO zulässig sein. Dieser Vorschlag 
bringt das Recht, Widerspruch einzule- 
gen und das Recht, auf der Grundlage 
eines Widerspruchs eine Veränderung 
bei der Datenverarbeitung zu bewirken, 
durcheinander. Ein Widerspruch ist für 
sich nicht in der Lage, einen Verarbei- 
tungszweck ernsthaft zu beeinträchtigen, 
sondern lediglich die sich evtl. daraus 
ergebende Einschränkung der Verarbei- 
tung. Die Bezugnahme auf sensitive Da- 
ten erschließt sich nicht. Ebenso wenig 
erschließt sich der Verweis auf Art. 21 
Abs. 1 S. 2 DSGVO. Die Regelung ist 
überflüssig und sollte gestrichen werden. 


Zu $ 36 Datenschutzbeauftragte 
nicht-öffentlicher Stellen 


Es ist zu begrüßen, dass die bewährten 
Regelungen aus dem BDSG-alt in das 
BDSG-neu übernommen werden. Immer 
noch sehr viele Unternehmensleitungen 
sind der Ansicht, dass sie sich nicht um 
die Umsetzung des Datenschutzes küm- 
mern müssten, solange sie keinen Daten- 
schutzbeauftragten zu bestellen haben. 
Diese Einstellung kann sich durch die 
deutlich gestiegenen Höchstgrenzen für 
Bußgelder im Lauf der Zeit wandeln. 
Aber durch die Beibehaltung der bishe- 
rigen Regelungen zur Bestellpflicht von 
Datenschutzbeauftragten wird eine prä- 
ventive Umsetzung des Datenschutzes 
— die aus Betroffenensicht unbedingt er- 
forderlich ist — gefördert. 


Zu $ 37 Akkreditierung von Zertifi- 
zierungsstellen 


Die nationale Umsetzungsnorm zu 
den Art. 42, 43 DSGVO zur daten- 
schutzrechtlichen Zertifizierung und zur 
Erteilung von Datenschutzgütesiegeln 
und -prüfzeichen beschränkt sich dar- 
auf, die zuständigen Aufsichtsbehörden 
in Bund und Ländern zu verpflichten, 
sich gegenseitig und die Deutsche Ak- 
kreditierungsstelle über die Erteilung, 
Versagung und den „Widerruf einer 
Akkreditierung“ zu unterrichten. Diese 
äußerst schlanke Regelung lässt prak- 
tisch alles hinsichtlich der Akkreditie- 
rung von Prüfstellen und der von diesen 
vorzunehmenden Zertifizierungen im 
Unklaren. Dies veranlasst die Auf- 
sichtsbehörden und die Deutsche Ak- 
kreditierungsstelle, alles Wesentliche in 
eigener Verantwortung zu regeln. Dies 
ist äußerst unbefriedigend. 


Zu 8 38 Aufsichtsbehörden im nicht- 
öffentlichen Bereich 


Der Entwurf lässt offen, ob Post- und 
Telekommunikationsunternehmen -— 
wiebisher ($ 115 Abs. 4TKG,$ 42 Abs. 3 
PostG) — von der BfDI oder von den 
Aufsichtsbehörden der Länder kontrol- 
liert werden sollen. 


Zu 8 40 Verhängung von Geldbußen 


Abs. 3 sieht vor, dass gegen Behörden 
und öffentliche Stellen des Bundes kei- 
ne Geldbußen verhängt werden, soweit 
diese nicht wettbewerblich tätig sind. 
Mit der Regelung, die sich auf die Öff- 
nungsklausel des Art. 83 Abs. 7 DSGVO 
beruft, werden öffentliche Stellen von 
Bußgeldverfahren vollständig freige- 
stellt. Dies entspricht nicht den Intention 
der DSGVO und dem Ziel, die bestehen- 
den Vollzugsdefizite durch verbesserte 
Sanktionen — im öffentlichen wie im 
nicht-öffentlichen Bereich — abzubauen. 


Zu $ 42 Strafantragserfordernis 


Zur Strafverfolgung von Verstößen 
nach $ 41 bedarf es eines Antrags. An- 
tragsberechtigt sollen sein „die betroffe- 
ne Person, der Verantwortliche, die oder 
der Bundesbeauftragte und die Auf- 
sichtsbehörde“. Damit sollen strafbare 
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Datenschutzverstöße weiterhin kein Of- 
fizial-, sondern ein Antragsdelikt sein, 
was der gesellschaftlichen Bedeutung 
vieler Datenschutzdelikte nicht gerecht 
wird (Schulzki-Haddouti, Papiertiger, 
c't 10/2016, 162 ff.). 


Zu Teil 3 (88 43-79) Verarbeitung 
nach der JI-Richtlinie 


Zu den Regelungsvorschläge der 
88 43 bis 79 wird aktuell keine Stellung 
genommen. Eine spätere Bewertung 
bleibt vorbehalten. 


D Weitere gesetzliche Änderungen 


Zu Artikel 2 Änderung des Bundes- 
verfassungsschutzgesetzes 


In $ 26a Abs. 2 ist vorgesehen, die Da- 
tenschutzkontrolle der BfDI auszuschlie- 
Ben, „soweit die Einhaltung von Vor- 
schriften der Kontrolle durch die Kom- 
mission nach $ 15 des Artikel 10-Gesetzes 
unterliegt“. In der Vergangenheit hat sich 
gezeigt, dass die Datenschutzkontrolle 
der bundesdeutschen Geheimdienste un- 
zureichend ist. Ein Grund hierfür liegt 
darin, dass die G-10-Kommission und die 
Kontrolle durch die BfDI sich gegenseitig 
ausschließen, obwohl in tatsächlicher wie 
auch in rechtlicher Hinsicht Überschnei- 
dungen bestehen. Die Kontrolle durch 
die G-10-Kommission und die BfDI un- 
terscheiden sich sowohl hinsichtlich der 
Methode wie auch der Fragestellung. Es 
ist daher gerechtfertigt, sich überschnei- 
dende Kontrollen zuzulassen. Hierdurch 
wird auch vermieden, dass z. B. durch 
Zuordnungsprobleme kontrollfreie Räu- 
me entstehen. Entgegen der Gesetzesbe- 
gründung (S. 120) ist die Regelung nicht 
geeignet, die bisher aufgetretenen Kon- 
trolllücken zu beseitigen. Es ist nicht er- 
kennbar, weshalb, wie in der Begründung 
aufgeführt, zwischen der G-10-Kommis- 
sion und der BfDI konträre Ergebnisse 
entstehen können sollen. Selbst wenn dies 
der Fall wäre, bestünde insofern kein „Ri- 
siko“, sondern allenfalls die Chance einer 
zweiten Meinung, zumal weder der BfDI 
noch der G-10-Kommission exekutive 
Durchgriffsrechte zugestanden werden. 

In 8 27 Abs. 1 ist vorgesehen, dass $ 16 
Abs. I des neuen BDSG nicht gelten soll, 
welcher der BfDI bei Feststellung von Da- 
tenschutzverstößen Untersuchungs- und 
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Abhilfebefugnisse gemäß der DSGVO 
zugesteht, nachdem eine umfassende 
Anhörung stattgefunden hat. Es ist nicht 
erkennbar, weshalb diese Regelung, die 
die Abstellung von Datenschutzverstößen 
sicherstellen soll, für nicht anwendbar er- 
klärt wird. 


Zu Artikel 7 - Änderung des aktuellen 
Bundesdatenschutzgesetzes 


8 42b - Antrag der Aufsichtsbehörde 
auf gerichtliche Überprüfung von 
Angemessenheitsbeschlüssen der EU- 
Kommission 


Es ist zu begrüßen, dass diese Rege- 
lung als eigenständige Änderung in das 
BDSG-alt eingefügt werden soll (siehe 
Art. 10 - Inkrafttreten/Außerkrafttreten) 
und am Tag nach der Verkündung dieses 
Gesetzes — und nicht erst am 25.05.2018 
- in Kraft treten soll. 


E Weiterer dringender Änderungsbe- 
darf beim Datenschutzrecht 


Der Entwurf behandelt einige Bereiche 
des Datenschutzes nicht, die dringend ei- 
ner Regelung bedürfen. 

Abgesehen von den schon genannten 
Themen des Beschäftigtendatenschutzes 
sowie des Datenschutzes im Bereich der 
Forschung gilt dies insbesondere für eine 
Regulierung der Auftragsdatenverarbei- 
tung von Berufsgeheimnissen unterliegen- 
den Verantwortlichen. In seiner Stellung- 
nahme „Datenschutzrechtlicher Hand- 
lungsbedarf 2016 für die deutsche Politik 
nach Verabschiedung der EU-DSGVO“ 
vom 09.05.2016 hat das Netzwerk Daten- 
schutzexpertise darauf hingewiesen, dass 
IT-Dienstleister, die z. B. Anwalts- oder 
Arztpraxissysteme administrieren oder 
hochkomplexe IT-Systeme in Kranken- 
häusern oder medizinischen Laboren ver- 
walten, nicht den in der StPO gesicherten 
Vertraulichkeitsschutz genießen und nicht 
der straf- und standesrechtlichen Schwei- 
gepflicht unterliegen, weshalb Berufs- 
geheimnisträger diesem Personenkreis 
nach dem derzeit geltenden Recht keinen 
Zugang zu Patienten- oder Klientendaten 
gewähren dürfen (http://www.netzwerk- 
datenschutzexpertise.de/sites/default/files/ 
empf_2016_nat_regelungsbedarf.pdf). 
Dies beeinträchtigt die Aufgabenwahrneh- 
mung der besonders geschützten Berufs- 


gruppen und letztlich die Rechtssicherheit 
aller Beteiligten. Dem kann durch eine 
Erweiterung der Geheimhaltungspflicht 
und durch eine Offenbarungsbefugnis ab- 
geholfen werden. 

In der DSGVO und in der Folge auch 
im nationalen Umsetzungsgesetz besteht 
zudem ein großes datenschutzrechtli- 
ches Defizit darin, dass als Adressaten 
der Normen lediglich Verantwortliche 
und Auftragsverarbeiter benannt werden, 
nicht aber Hersteller bzw. Anbieter von 
IT-Produkten (Hard- und Software), mit 
denen personenbezogene Daten verar- 
beitet werden. Tatsächlich beruhen viele 
Gefährdungen und Beeinträchtigungen 
des Rechts auf informationelle Selbstbe- 
stimmung darauf, dass Verantwortliche 
oder Auftragsverarbeiter IT-Produkte ein- 
setzen, die nicht den Anforderungen der 
DSGVO (z. B. der Art. 25, 32) genügen 
bzw. genügen können. In Ermangelung 
einer hinreichenden Kontrolle oder von 
technischen Einflussmöglichkeiten ist 
dies Verantwortlichen bzw. Auftragsver- 
arbeitern oft nicht bewusst oder für die- 
se nicht korrigierbar. Vorgegebene Ver- 
arbeitungsvorgänge, etwa in Form von 
Online-Formularen oder voreingestellten 
Datenweiterleitungen, sind oft weder 
hinreichend dokumentiert noch durch die 
(formalrechtlich verantwortlichen) Nut- 
zenden beeinflussbar. Die ungenügende 
Umsetzung von Privacy by Default und 
Privacy by Design (vgl. auch Art. 25 DS- 
GVO) oder generell unterlassene Maß- 
nahmen zur Erhöhung der IT-Sicherheit 
durch die Hersteller führen oft dazu, dass 
nötige technisch-organisatorische Maß- 
nahmen unterbleiben oder materiell-recht- 
liche Verstöße vorgegeben werden. 

Ein modernes Datenschutzgesetz muss 
daher - ähnlich wie eine Adressierung von 
Straßenverkehrsvorschriften an die Kfz- 
Hersteller — auch die Hersteller und An- 
bieter von IT-Produkten, die der personen- 
bezogenen Datenverarbeitung dienen, ein- 
beziehen. Dies kann in der Form erfolgen, 
dass diesen z. B. bestimmte verpflichten- 
de Datenschutzstandards präventiv wir- 
kend vorgegeben werden oder dadurch, 
dass diesen im Fall datenschutzwidriger 
Produkte Haftungsrisiken auferlegt wer- 
den. Die bisher vorgesehenen freiwilligen 
Zertifizierungen, die auf eine Selbstregu- 
lierung des Marktes setzen, genügen nicht, 
um die systematische Verbreitung von Da- 
tenschutzverstößen einzudämmen. 
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Pressemitteilung und Stellungnahme der Deutschen Vereinigung 
für Datenschutz e. V. (DVD) sowie des Netzwerks Datenschutz- 
expertise zum Videoüberwachungsverbesserungsgesetz 


Keine sinnlose Videoüberwachung 


Pressemitteilung vom 07.11.2016 


Die Deutsche Vereinigung für Daten- 
schutz (DVD) und das Netzwerk Da- 
tenschutzexpertise lehnen den Entwurf 
eines Gesetzes zur Änderung des Bun- 
desdatenschutzgesetzes ab. 

Beide Organisationen bemängeln, 
dass die geplante Änderung des Bun- 
desdatenschutzgesetzes einen unver- 
hältnismäßigen Eingriff in die Persön- 
lichkeitsrechte Betroffener vorsieht, 
die privaten Betreiber von Videoanla- 
gen zu polizeilichen Hilfsdiensten her- 
anziehen will und eine unangemessene 
Beeinflussung der aufsichtsbehördli- 
chen Bewertung von Videoüberwa- 
chungsanlagen beabsichtigt. 

Dazu Werner Hülsmann, stellver- 
tretender Vorsitzender der DVD: „Die 
vom BMI durch die geplante Gesetzes- 
änderung ausdrücklich erwartete ‚stei- 
gende Anzahl von Videokameras‘ stellt 
einen erheblichen Eingriff in das Ver- 
sammlungs- und Demonstrationsrecht 
dar. Bereits jetzt zeigt die Praxis, dass 
die zur Wahrung des Versammlungs- 
rechts erforderliche Abschaltung der 
Kameras während der Versammlungen 
und Demonstrationen nur unzureichend 
erfolgt. Zudem ist es für potentielle 
TeilnehmerInnen nicht erkennbar, ob 
die Kameras aktiv sind oder nicht.“ 

Ergänzend Frank Spaeing, Vorsitzen- 
der der DVD: „Das Gesetz zielt expli- 
zit darauf ab, die unabhängige Tätigkeit 
der Datenschutzbehörden zu beeinflus- 
sen. Es steht dem Gesetzgeber nicht an, 
die verfassungsrechtlich gesicherte un- 
abhängige Aufgabenwahrnehmung der 
Datenschutzaufsichtsbehörden bei der 
grundrechtlichen Abwägung zu beein- 
flussen.“ 

Abschließend Thilo Weichert, Vor- 
standsmitglied der DVD und Autor der 
Stellungnahme: „Der Eindruck ist nicht 
von der Hand zu weisen, dass mit dem 
Entwurf neben dem Versuch, bei der 
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Videoüberwachung Datenschutzbelan- 
ge hinter Sicherheitsinteressen massiv 
zurückzudrängen, im Hinblick auf die 
Bundestagswahl im Herbst 2017 si- 
cherheitspolitische Symbolpolitik be- 
trieben wird.“ 


Stellungnahme der Deutschen Vereini- 
gung für Datenschutz e. V. (DVD) und 
des Netzwerks Datenschutzexpertise 
zum Referentenentwurf des Bundes- 
ministeriums des Innern (Stand 
02.11.2016) 


Entwurf eines Gesetzes zur Änderung 
des Bundesdatenschutzgesetzes — Er- 
höhung der Sicherheit in öffentlich 
zugänglichen großflächigen Anlagen 
und im öffentlichen Personenverkehr 
durch optisch-elektronische Einrich- 
tungen (Videoüberwachungsverbes- 
serungsgesetz) 


Gemäß dem Gesetzentwurf ist vorge- 
sehen, in $ 6b Abs. 1 BDSG folgenden 
Satz 2 anzufügen: 

„Bei öffentlich zugänglichen groß- 
flächigen Anlagen, wie insbesondere 
Sport-, Versammlungs- und Vergnü- 
gungsstätten, Einkaufszentren oder 
Parkplätzen, oder Einrichtungen und 
Fahrzeugen des öffentlichen Perso- 
nenverkehrs ist der Schutz von Leben, 
Gesundheit oder Freiheit von dort auf- 
hältigen Personen als wichtiges öffent- 
liches Interesse bei der Abwägungs- 
entscheidung nach Satz 1 Nummer 3 
in besonderem Maße zu berücksichti- 


[73 


gen. 


Außerdem soll nach $ 6b Abs. 3 S. I 
BDSG folgender Satz eingefügt werden: 
„Absatz 1 Satz 2 gilt entsprechend.“ 


Die DVD und das Netzwerk Daten- 
schutzexpertise lehnen die geplante 
Gesetzesänderung ab. 


Begründung 


Der Intention, Anschläge von Terro- 
risten und Straftätern auf hochfrequen- 
tierten öffentlich zugänglichen Anlagen 
und Plätzen zu erfassen und evtl. „frü- 
hestmöglich zu verhindern“, ist unein- 
geschränkt zuzustimmen. Die geplante 
Gesetzesänderung ist hierfür aber weder 
geeignet noch notwendig. Die Geset- 
zesänderung würde aber voraussichtlich 
dazu führen, dass an öffentlichen Orten 
in unverhältnismäßiger Weise Video- 
überwachung ausgeweitet wird und da- 
durch eine massive unverhältnismäßige 
Einschränkung des Rechts auf informa- 
tionelle Selbstbestimmung erfolgt. 


Keine Gesetzgebungskompetenz 


Zudem besteht für die geplante Rege- 
lung, deren Hauptziel die Gefahrenab- 
wehr ist, keine Gesetzgebungskompe- 
tenz; diese liegt bei den Ländern. 

Die geplante Regelung richtet sich 
nicht an Gefahrenabwehrbehörden, son- 
dern generell an öffentliche Bundesstel- 
len sowie an nicht-öffentliche Stellen. 
Die Aufgabe der Gefahrenabwehr, die 
mit dem Entwurf verfolgt wird, insbe- 
sondere die Verhinderung von (terroris- 
tischen) Anschlägen, gehört nicht zu den 
Aufgaben der von $ 6b BDSG erfassten 
Stellen, sondern zu den Aufgaben der 
Polizei, deren Befugnisse bereichsspe- 
zifisch im Polizeirecht und nicht im 
BDSG geregelt sind. Die Gefahrenab- 
wehr obliegt vorrangig den Landespo- 
lizeien. Die Gesetzgebungskompetenz 
hierfür liegt bei den Bundesländern 
(Art. 70 GG). Eine Rechtfertigung der 
Gesetzgebung durch den Bund über An- 
nexe (z. B. Strafverfahren, Art. 74 Nr. 1 
GG; Recht der Wirtschaft, Art. 74 Nr. 11 
GG; Straßenverkehr Art. 74 Nr. 22 GG) 
ist nicht möglich, da der Schwerpunkt 
der Regelung eindeutig und ausdrück- 
lich in der Gefahrenabwehr liegt. Die 
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Zuständigkeit nach Art. 73 Abs. 1 Nr. 9a 
GG für die „die Abwehr von Gefahren 
des internationalen Terrorismus durch 
das Bundeskriminalpolizeiamt in Fäl- 
len, in denen eine länderübergreifende 
Gefahr vorliegt, die Zuständigkeit einer 
Landespolizeibehörde nicht erkennbar 
ist oder die oberste Landesbehörde um 
eine Übernahme ersucht“, ist nicht ein- 
schlägig, da sich die Videoüberwachung 
nicht auf konkrete terroristische Gefah- 
ren beschränkt, sondern generell und 
anlasslos den öffentlichen Raum erfasst. 
Die Berufung auf das „Recht der Wirt- 
schaft‘ im Entwurf geht fehl, da vorran- 
gig Zwecke der Gefahrenabwehr und 
ausschließlich staatliche Sicherheits- 
zwecke verfolgt werden und - anders als 
im Entwurf (dort S. 4) behauptet - keine 
Rechtszersplitterung droht. 


Übermäßiger Eingriff in Persönlich- 
keitsrechte 


Das Bundesverfassungsgericht 
(BVerfG) hat darauf hingewiesen, dass 
die Videoüberwachung eines öffentli- 
chen Platzes „in das allgemeine Persön- 
lichkeitsrecht potenzieller Besucher des 
Platzes in seiner Ausprägung als Recht 
der informationellen Selbstbestimmung“ 
eingreift (BVerfG B. v. 23.02.2007 — 1 
BvR 2368/06, NVwZ2007, 688 ff.). Es 
hat u. a. Folgendes ausgeführt: „Video- 
überwachung ist ein intensiver Ein- 
griff. Sie beeinträchtigt alle, die den 
betroffenen Raum betreten. Sie dient 
dazu, belastende hoheitliche Maßnah- 
men vorzubereiten und das Verhalten 
der den Raum nutzenden Personen zu 
lenken. Das Gewicht dieser Maßnahme 
wird dadurch erhöht, dass infolge der 
Aufzeichnung das gewonnene Bildma- 
terial in vielfältiger Weise ausgewertet, 
bearbeitet und mit anderen Informatio- 
nen verknüpft werden kann. ... Die Vi- 
deoüberwachung und die Aufzeichnung 
des gewonnenen Bildmaterials erfassen 
daher — wie bei solchen Maßnahmen 
stets — überwiegend Personen, die selbst 
keinen Anlass schaffen, dessentwegen 
die Überwachung vorgenommen wird“ 
(Rn. 52 des Beschlusses). 

„Es ist nicht ausgeschlossen, dass eine 
Videoüberwachung öffentlicher Einrich- 
tungen mit Aufzeichnung des gewonne- 
nen Bildmaterials auf der Grundlage ei- 
ner hinreichend bestimmten und nor- 
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menklaren Ermächtigungsgrundlage 
materiell verfassungsgemäß sein kann, 
wenn für sie ein hinreichender Anlass 
besteht und Überwachung sowie Auf- 
zeichnung insbesondere in räumlicher 
und zeitlicher Hinsicht und im Hinblick 
auf die Möglichkeit der Auswertung der 
Daten das Übermaßverbot wahren“ (Rn. 
56 des Beschlusses). 

Der Entwurf weist zu Recht darauf 
hin, dass nach der bestehenden Regelung 
des $ 6b BDSG, dessen Verfassungsge- 
mäßheit nicht angezweifelt wird, „schon 
heute Sicherheitsbedürfnisse einbezo- 
gen werden“. Die Änderung sei nur 
deshalb nötig, weil „sich eine restriktive 
Aufsichtspraxis beim Einsatz optisch- 
elektronischer Sicherheitstechnologien 
herausgebildet“ habe. Es sei deshalb 
„notwendig, eindeutigere Vorgaben hin- 
sichtlich der Abwägungsentscheidung 
zu machen und der Sicherheit und dem 
Schutz der Bevölkerung ein größeres 
Gewicht beizumessen, wenn es um die 
Zulässigkeit der Videoüberwachung bei 
solch hochfrequentierten Anlagen geht“ 
(S. 1, 4 des Entwurfes). Diese Aussage 
trifft nicht zu. Durch die geplante Än- 
derung werden keine neuen Abwägung- 
saspekte eingeführt; der Schutz der Be- 
völkerung ist schon immer ein zentraler 
Abwägungsaspekt bei der Beurteilung 
durch die Betreiber, die Aufsichtsbe- 
hörden und die Rechtsprechung. Ge- 
richtliche Überprüfungen der bisherigen 
Aufsichtspraxis haben insofern bisher 
keine wesentlichen Änderungsbedar- 
fe ergeben (vgl. z. B. VG Hannover 
U. 14.07.2011, - 10 A 5452/10, DANA 
2011, 131 ff., DÖV 2011, 860). 


Unangemessene Beeinflussung der 
Aufsichtsbehörden 


Das Gesetz zielt explizit darauf ab, 
die unabhängige Tätigkeit der Da- 
tenschutzbehörden zu beeinflussen. 
Deren Unabhängigkeit wird in Art. 8 
Abs. 3 Grundrechte-Charta (GRCh) so- 
wie durch die deutsche und europäische 
Verfassungsrechtsprechung bestätigt 
(BVerfG NIW 1984, 422 f. — Volkszäh- 
lung; BVerfG NJW 2013, 1499 — Anti- 
terrordatei, Rn. 214 ff.; weitere Nach- 
weise bei Weichert in Däubler/Klebe/ 
Wedde/Weichert, Bundesdatenschutz- 
gesetz, 5. Aufl. 2016, $ 23 Rn. 2, $ 38 
Rn. 6). Es steht dem Gesetzgeber nicht 


an, die verfassungsrechtlich gesicherte 
unabhängige Aufgabenwahrnehmung 
der Datenschutzaufsichtsbehörden bei 
der grundrechtlichen Abwägung zu be- 
einflussen. 

Die der Entwurfsbegründung zu ent- 
nehmende Regelungsintention besteht 
nicht darin, eine angemessene Abwä- 
gung vorzunehmen, sondern Sicher- 
heitsaspekte besonders zu betonen und 
diesen damit insbesondere gegenüber 
dem allgemeinen Schutz vor anlasslo- 
ser Erfassung den Vorrang zu geben. 
Letztendlich läuft der Entwurf darauf 
hinaus, dass in den genannten öffentli- 
chen Räumen private Betreiber auf die 
Sicherheitsintention hinweisen können, 
wogegen in der Folge — auch durch Auf- 
sichtsbehörden — nicht mehr argumen- 
tiert können werden soll. Damit werden 
die o. g. Erwägungen des BVerfG ad 
absurdum geführt. Die Regelung enthält 
keine Anforderung dahingehend, dass 
eine spezifische (terroristische oder an- 
derweitig anschlagsbezogene) Gefähr- 
dungslage bestehen muss. Da an allen 
der genannten Plätze Anschläge nicht 
ausgeschlossen sind, wird damit Vi- 
deoüberwachung immer gerechtfertigt. 
Davon geht auch der Entwurf aus, der 
an keiner Stelle besondere Schutzinter- 
essen benennt, die einer Videoüberwa- 
chung noch entgegenstehen könnten. In 
der Praxis würde dies darauf hinauslau- 
fen, dass öffentliche Plätze einer opti- 
schen Totalüberwachung unterworfen 
werden. 


Keine polizeilichen Hilfsarbeiten 


Die Regelung ist auch insofern pro- 
blematisch, als zusätzlich zu der ur- 
sprünglichen Intention von (insbe- 
sondere privater) Videoüberwachung, 
etwa dem Schutz des Hausrechts oder 
eigener Sicherheitsinteressen, dieser 
ein eigenständiger öffentlicher Zweck, 
nämlich die Bekämpfung des Terroris- 
mus und anderer schwerer Gewalttaten, 
zugemessen wird. Damit werden private 
Stellen gesetzlich zu Instrumenten der 
allgemeinen Gefahrenabwehr und zu 
Informationsgehilfen der Polizei ge- 
macht. Die Gesetzesbegründung führt 
hierzu aus: „Damit stehen der Polizei 
und Staatsanwaltschaft verstärkt effek- 
tive Übersichts-, Aufklärungs- und Er- 
mittlungsmöglichkeiten zur Verfügung“ 
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(S. 6 des Entwurfs). Es geht dem Ent- 
wurf also nicht nur darum, nach einem 
Anschlag Ermittlungsmaterial für die 
Polizei zu beschaffen, sondern darüber 
hinausgehend die Betreiber von Video- 
überwachungsanlagen zu veranlassen, 
ihre Kameras mit Systemen der Polizei 
zu koppeln und dadurch die Bilder „in 
Echtzeit‘ zur Verfügung zu stellen. Eine 
derartige Funktionalisierung Privater für 
Zwecke einer wie auch immer verstan- 
denen öffentlichen Sicherheit, für die 
es derzeit keine gesetzliche Grundlage 
gibt, ist — auch im Hinblick auf die deut- 
sche Geschichte, nicht nur im National- 
sozialismus, sondern auch in der DDR 
— hoch problematisch. 

Die Notwendigkeit des Entwurfs wird 
mit den „Vorfällen in München und 
Ansbach im Sommer 2016“ begründet. 
Es ist zutreffend, dass sich bei einer Än- 
derung der Sicherheitssituation eine Än- 
derung hinsichtlich der Abwägung zwi- 
schen Überwachung und Datenschutz 
ergeben kann. Die erwähnten Vorfälle 
sind aber für eine Gesetzesänderung 
keine Rechtfertigung. Es handelt sich 
um Einzelfälle; die Möglichkeit der- 
artiger Anschläge ist schon seit vielen 
Jahren bekannt und wird auch seitdem 
bei der Interessenabwägung nach $ 6b 
BDSG berücksichtigt. Es ist nicht ange- 
bracht, anlässlich einzelner Ereignisse 
Gesetze zu ändern, die flächendeckend 
und zeitlich unbegrenzt (siehe dazu aber 
unten) für die gesamte Bundesrepublik 
Deutschland gelten. 

Der Gesetzentwurf berücksichtigt 
nicht, dass die genannten öffentlichen 
Orte auch solche sind, an deren in beson- 
derem Maße das Versammlungs- und 
Demonstrationsrecht gemäß Art. 8 GG 
und Art. 12 GRCh wahrgenommen 
wird. Damit Menschen nicht wegen der 
Kameras von der Teilnahme abgehal- 
ten werden, müssten derartige Kameras 
bei friedlichen Versammlungen abge- 
schaltet werden. Dies ist jedoch nicht 
gewährleistet. (BVerfG NJW 1984, 422 
— Volkszählung; OVG Münster, B. v. 
23.11.2010 - 5 A 2288/09, DVBI 2011, 
175 £.; VG Hannover U. v. 14.07.2014 — 
10 A 226/13, DANA 2014, 134). 

Beeinträchtigt wird zudem das aus 
der allgemeinen Handlungsfreiheit nach 
Art. 2 Abs. 1 GG abzuleitende Recht 
auf unbeobachtete Mobilität. Durch 
die Aufnahme von „Einrichtungen und 
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Fahrzeugen des öffentlichen Personen- 
verkehrs“ wird generell ein Freibrief 
zur Erfassung dieser Räume geschaffen. 
Damit wird faktisch das Recht auf An- 
onymität bei der Nutzung öffentlicher 
Verkehrsmittel abgeschafft. 


Verletzung der Verhältnismäßigkeit 


Die geplante Regelung ist angesichts 
der Schwere des Eingriffs für die All- 
gemeinheit nicht verhältnismäßig. 
Zwar wird zu Recht behauptet, dass „die 
Ermittlungstätigkeit von Polizei und 
Staatsanwaltschaft ... durch die Zurver- 
fügungstellung von Videoaufzeichnun- 
gen erheblich erleichtert“ werden kann 
(S. 4 des Entwurfs). Insofern kann eine 
Ausweitung der Videoüberwachung im 
öffentlichen Raum für den angestrebten 
Zweck als eine geeignete Maßnahme 
angesehen werden. Der Entwurf macht 
aber keinerlei Aussagen zur Erforder- 
lichkeit und zur Angemessenheit und 
nimmt keine Abwägung vor. Insbeson- 
dere trifft er keinerlei Aussage zu den 
abzuwägenden Persönlichkeitsrechten. 
Eine Vielzahl von wissenschaftlichen 
Untersuchungen hat ergeben, dass eine 
Ausweitung von Videoüberwachung 
im Öffentlichen Raum keine erkenn- 
bare Verbesserung der Sicherheitslage 
bewirkt (Nachweise z. B. in Hempel/ 
Metelmann, Bild -— Raum — Kontrolle, 
Videoüberwachung als Zeichen gesell- 
schaftlichen Wandels, 2005; Töpfer, 
Videoüberwachung als Kriminalpräven- 
tion? Plädoyer für einen Blickwechsel, 
Kriminologisches Journal 2009, 272 ff.; 
Hamburg Studie: Videoüberwachung 
bringt nichts, DANA 3/2010, 121; BReg. 
in BT-Drs. 17/2349: statistisch erfassba- 
re wesentliche Kausalität „kaum dar- 
stellbar‘“). Dies gilt insbesondere, nach- 
dem sich die Bereitstellung von Bildern 
aus dem Öffentlichen Raum situations- 
bezogen zu Attentaten durch Handybe- 
sitzer massiv verbessert hat, so wie sich 
dies z. B. anlässlich des Anschlags auf 
den Boston-Marathon am 15.04.2013 
gezeigt hat. Ein Blick in andere Staa- 
ten, in denen teilweise schon eine flä- 
chendeckende Videoüberwachung des 
öffentlichen Raums erfolgt, zeigt, dass 
dort (terroristische) Attentate durch die 
optische Überwachung nicht verhindert 
werden können. Dies gilt in besonderem 
Maße für islamistische terroristische 


Anschläge, die oft als Selbstmordatten- 
tate durchgeführt werden und bei denen 
potenzielle Täter oft mit hoher Profes- 
sionalität vorgehen, sich von Überwa- 
chungsmaßnahmen nicht einschränken 
lassen und geeignete Gegenmaßnahmen 
(z. B. Vermeidung, Tarnung) ergreifen. 
Eine Erforderlichkeit der Regelung ist 
demnach nicht gegeben. 

Überhaupt nicht verständlich ist die 
dringliche Behandlung des vorliegenden 
Entwurfes zur Änderung des Bundesda- 
tenschutzgesetzes, das am 24.05.2018 
voraussichtlich außer Kraft tritt bzw. 
nicht mehr anwendbar sein wird. Dies 
gilt insbesondere für die Regelungen zur 
Videoüberwachung, da insofern nach 
Wirksamwerden der Europäischen Da- 
tenschutzgrundverordnung (DSGVO) 
am 25.08.2018 kein nationaler gesetz- 
licher Regelungsspielraum mehr ver- 
bleibt (Roßnagel, Europäische Daten- 
schutz-Grundverordnung, 2016, S. 52). 
In diesem Zusammenhang muss dar- 
auf verwiesen werden, dass seit vielen 
Jahren bestehende, an Relevanz zuneh- 
mende und auch nach dem 25.05.2018 
bestehen bleibende Regelungsdefizite 
im deutschen Datenschutzrecht exis- 
tieren, die vom Bundesinnenministeri- 
um bisher nicht erkennbar angegangen 
wurden oder werden (Netzwerk Daten- 
schutzexpertise, Datenschutzrechtlicher 
Handlungsbedarf 2016 für die deut- 
sche Politik nach Verabschiedung der 
EU-DSGVO, Stand 09.05.2016, http:// 
www.netzwerk-datenschutzexpertise. 
de/sites/default/files/empf_2016_nat_ 
regelungsbedarf.pdf). Der Eindruck ist 
nicht von der Hand zu weisen, dass mit 
dem Entwurf neben dem Versuch, bei 
der Videoüberwachung Datenschutz- 
belange hinter Sicherheitsinteressen 
massiv zurückzudrängen, im Hinblick 
auf die Bundestagswahl im Herbst 2017 
sicherheitspolitische Symbolpolitik be- 
trieben wird. Eine derartige Behandlung 
des BDSG und der damit verbundene 
Missbrauch der Gesetzgebung zeugen 
von einer Geringachtung des Grund- 
rechts auf Datenschutz. 


Wir raten daher dringend, von dem 


Gesetzgebungsvorhaben Abstand zu 
nehmen. 
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Pressemitteilung der GMDS/GDD 


Datenschutzregelungen im Gesundheitswesen: 
„massiv überarbeitungsbedürftig“ 


Im einem 18-seitigen „Positions- 
papier zur Neugestaltung der daten- 
schutzrechtlichen Regelungen bzgl. der 
Verarbeitung von personenbezogenen 
Daten in der Versorgung, Qualitätssi- 
cherung und Forschung im Gesund- 
heitswesen“ vom 15.08.2016 haben die 
„Deutsche Gesellschaft für Medizini- 
sche Informatik, Biometrie und Epi- 
demiologie e. V.“ (GMDS), Arbeits- 
gruppe „Datenschutz und IT-Sicherheit 
im Gesundheitswesen“ und die „Ge- 
sellschaft für Datenschutz und Daten- 
sicherheit e. V.“ (GDD), Arbeitskreis 
„Datenschutz und Datensicherheit im 
Gesundheits- und Sozialwesen“ den 
tatsächlichen und rechtlichen Regulie- 
rungsbedarf in Deutschland nach der 
Veröffentlichung der Europäischen Da- 
tenschutz-Grundverordnung (DSGVO) 
zusammengefasst. 

Dieses Positionspapier untersucht, 
welche bisherigen Regelungsdefizite 
bestehen und wie diese unter Einbezie- 
hung der DSGVO umgesetzt werden 
können. Dieses Positionspapier ist dem 
deutschen Bundestag bzw. den zustän- 
digen Bundesministerien, aber auch 
der Landespolitik — da einige Gesetz- 
gebungskompetenzen bei den Ländern 
liegen — ans Herz zu legen, damit end- 
lich das Regelungschaos im Bereich des 
deutschen Gesundheitsdatenschutzes 
beendet wird. 


Hier wird die Zusammenfassung 
abgedruckt: 

„Die Patientenversorgung erfolgt 
heute institutions- und bundeslandüber- 
greifend. Daher sollte die durch die 
Einführung der europäischen Daten- 
schutzgrundverordnung (DSGVO) zu 
erfolgende Änderung der Gesundheits- 
datenschutzgesetzgebung in Bund und 
Ländern dazu genutzt werden, diesem 
Umstand Rechnung zu tragen und die 
Gesetzgebung bzgl. des Gesundheits- 


DANA » Datenschutz Nachrichten 4/2016 


datenschutzes von Bund und Ländern 
harmonisieren. 

Es ist zwingend notwendig, dass 
Erlaubnistatbestände zur Datenwei- 
tergabe an mitbehandelnde und/oder 
weiterbehandelnde Personen, die nicht 
zwangsläufig ärztliche Personen sein 
müssen, weiterhin gesetzlich geregelt 
bleiben. Dies schließt die derzeitigen 
gesetzlichen Regelungen der Sozialge- 
setzbücher ein, insbesondere auch die 
Regelungen bzgl. des MDK. Es ist wün- 
schenswert, dass diese Erlaubnistatbe- 
stände nicht zwingend die Einwilligung 
des Patienten erfordern, wenngleich 
selbstverständlich die Transparenz ge- 
genüber dem Patienten gewährleistet 
sein muss. 

Die medizinische Forschung wird in 
der DSGVO nur am Rande betrachtet. 
Vielmehr überlässt man die gesetzliche 
Ausgestaltung dieses Themas dem nati- 
onalen Gesetzgeber. Damit der medizi- 
nische Forschungsstandort Deutschland 
nicht den Anschluss an die internatio- 
nale medizinische Forschung verliert, 
benötigt Deutschland klare Regeln bzgl. 
des Umgangs mit Daten der besonde- 
ren Kategorien zu Forschungszwecken. 
Insbesondere werden gesetzliche Er- 
laubnistatbestände bzgl. des Umgangs 
mit Biomaterial benötigt, aber auch Re- 
gelungen für einrichtungsübergreifende 
Forschung und Qualitätssicherung mit 
den Daten der Patientenversorgung. 

Neben der Forschung ist die Quali- 
tätssicherung der medizinischen Ver- 
sorgung unabdingbar. Auch hier müssen 
mindestens die aktuellen Regelungen 
beibehalten werden, welche die Nut- 
zung von Daten der Routineversorgung 
zu Zwecken der Qualitätssicherung er- 
lauben. Nicht staatlich geforderte Regis- 
ter sind für die Weiterentwicklung der 
Versorgung unverzichtbar, diese brau- 
chen gesetzliche Erlaubnistatbestände. 

In der heutigen Zeit ist die elektroni- 


sche Datenverarbeitung derart komplex 
geworden, dass innerhalb einer verant- 
wortlichen Stelle - wie einem Kranken- 
haus oder einer Arztpraxis - das dort be- 
schäftigte Personal ohne externe Unter- 
stützung die EDV-Prozesse nicht mana- 
gen kann. Die Gesetzgebung sollte dem 
Rechnung tragen und ermöglichen, dass 
Daten außerhalb eines Krankenhauses 
verarbeitet werden dürfen und den Da- 
ten dort derselbe gesetzliche Schutz wie 
in der versorgenden Einheit gewährt 
wird. 

Hinsichtlich der Bestellpflicht eines 
Datenschutzbeauftragten ist es wün- 
schenswert, dass einerseits die beste- 
henden Regelungen in Deutschland 
beibehalten werden. Die Betroffenen- 
rechte sind in der DSGVO sehr um- 
fangreich ausgestaltet, was angesichts 
der immer stärkeren digitalen Vernet- 
zung verständlich und begrüßenswert 
ist. Dennoch sollte der Gesetzgeber ei- 
nige wenige dieser Rechte (siehe z. B. 
Kapitel 4.2.2) einschränken, bis nati- 
onale Umsetzungsvorgaben (z.B. im 
Rahmen des Rechts auf Datenübertrag- 
barkeit) eine nutzbare Gestaltung die- 
ser Betroffenenrechte erlauben. Art. 9 
Abs. 3 DSGVO fordert eine Geheim- 
haltungspflicht für Personen, welche 
besondere Kategorien personenbezo- 
gener Daten gemäß Art. 9. Abs. 2 lit. h 
DSGVO verarbeiten. In verschiede- 
nen juristischen Kommentaren werden 
verschiedene Kategorien von Personen 
genannt, die nicht unter den Schutzbe- 
reich des $ 203 StGB fallen, sodass hier 
eine Regelung analog $ 17 UWG oder 
eine Änderung des $ 203 StGB selbst 
zur Herstellung einer Rechtssicherheit 
wünschenswert erscheint.“ 


Das gesamte Positionspapier 
ist im Internet unter  https://www. 
gesundheitsdatenschutz.org/lib/exe/ 
fetch.php/positionspapier.pdf abrufbar. 
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Datenschutznachrichten aus Deutschland 


Bund 


vzbv mahnt erfolgreich 
Pok&mon-Go-AGB ab 


Der Verbraucherzentrale Bundesver- 
band (vzbv) hatte den Pok&mon-Go- 
Anbieter Niantic Mitte Juli 2016 abge- 
mahnt. Er teilte am 24.10.2016 mit, dass 
das Unternehmen daraufhin seine Nut- 
zungsbedingungen und die Datenschutz- 
richtlinien (Allgemeine Geschäftsbedin- 
gungen — AGB), die gegen deutsches 
Recht verstoßen, bis zum Jahresende 
2016 in 15 Punkten nachbessern wol- 
le. In der Datenschutzerklärung fanden 
sich bislang schwer verständliche oder 
zu weitreichende Einwilligungserklärun- 
gen. So konnten personenbezogene Da- 
ten nach Ermessen des Spielentwicklers 
an unbeteiligte Dritte weitergegeben wer- 
den. Gemäß der Mitteilung des vzbv hat 
Niantic zu allen beanstandeten Klauseln 
eine Unterlassungserklärung abgegeben. 
Bis zur Nachbesserung darf sich das Un- 
ternehmen nicht mehr auf die beanstan- 
deten Klauseln berufen. Darin hatte es 
sich etwa auch vorbehalten, den mit dem 
Spieler geschlossenen Vertrag jederzeit 
abzuändern oder Dienste ganz einzustel- 
len — ohne jede Rückerstattung von Geld, 
das etwa in In-App-Käufe geflossen ist. 
Ebenso kritisch waren die Nutzungsbe- 
dingungen, für die kalifornisches Recht 
gelten sollte und die weitreichende Haf- 
tungs- und Gewährleistungsausschlüs- 
se enthielten (vgl. Appel und Spaeing, 
DANA 3/2016, 134 ff.; Pokemon Go: 
Niantic darf Nutzerdaten nicht mehr wei- 
tergeben. www.heise.de 24.10.2016). 


Bund 
vzbv mahnt WhatsApp ab 
Das Marktwächter-Team vom Ver- 


braucherzentrale Bundesverband (vzbv) 
hat WhatsApp abgemahnt, weil das Un- 
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ternehmen persönliche Daten wie Tele- 
fonnummern an seinen Mutterkonzern 
Facebook weiterreichen will. Neue Nut- 
zungs- und Datenschutzbestimmungen, 
die August 2016 vorgestellt wurden, 
sollen dies ermöglichen. Diese sind, so 
der vzbv, „zu großen Teilen“ unzuläs- 
sig. Weitergegeben wird u. a. die Han- 
dynummer an Facebook, unabhängig 
davon, ob die jeweilige Nutzende auch 
bei Facebook aktiv ist. Besonders kri- 
tisch sei, dass auch alle im Telefonbuch 
der WhatsApp-Nutzenden gespeicherten 
Nummern weitergegeben werden, also 
auch von Menschen, die WhatsApp über- 
haupt nicht verwenden. Bei der Übernah- 
me von WhatsApp 2014 hatte Facebook 
öffentlich bekundet, dass der Dienst von 
WhatsApp unabhängig bleiben solle. Die 
VerbraucherInnen sollten also darauf ver- 
trauen, dass ihre Daten allein bei Whats- 
App bleiben und kein Datentransfer zu 
Facebook erfolgt. Facebook und Google 
beherrschen gemeinsam den globalen 
Online-Werbemarkt mit einem Markt- 
anteil von ca. 80%. Die Daten des bisher 
werbefreien WhatsApp sollen künftig 
von Facbeook zur Vermarktung genutzt 
werden. Das Vertrauen der Nutzenden 
wurde enttäuscht. Der vzbv hatte bereits 
in seiner Abmahnung von Facebook 
Anfang 2015 erste Anzeichen für einen 
Datenaustausch kritisiert (Daten ohne 
Schutz: WhatsApp überschreitet rote 
Linie, www.vzbv.de 19.09.2016; Whats- 
App abgemahnt, SZ 20.09.2016, 22). 


Bund 


Bald Vollverschleierungs- 
verbot vor Gericht? 


Bayern hat mit baden-württember- 
gischer Unterstützung einen Antrag im 
Bundesrat eingebracht, der ein bundes- 
weites Burka-Verbot in Gerichtsprozes- 
sen vorsieht. Bayerns Justizminister Win- 
fried Bausback (CSU) will muslimische 


Frauen, die ihr Gesicht hinter einem Ge- 
sichtsschleier verbergen, per Gesetz dazu 
zwingen, bei Gerichtsverfahren ihr Ant- 
litz zu enthüllen, wenn sie „Verfahrens- 
beteiligte“ sind: Wenn die RichterInnen 
einer Zeugin nicht ins Gesicht sehen kön- 
nen, sei es ihnen regelmäßig auch nicht 
möglich, deren Aussagen umfassend zu 
würdigen oder auch nur ihre Identität 
eindeutig zu klären. „Auf die Wahrheit 
können wir in unserem Rechtsstaat aber 
nicht verzichten.“ 

Die Burka und der Nikab-Gesichts- 
schleier widersprächen nicht nur dem 
in Deutschland vorherrschenden Ver- 
ständnis von Gleichberechtigung und 
offener Kommunikation, so Bausback: 
„Vor Gericht erschweren sie maximal die 
Ermittlung der Wahrheit und die Durch- 
setzung von materieller Gerechtigkeit.“ 
Der baden-württembergische Justiz- 
minister Guido Wolf (CDU) verlangte: 
„Die Bundesregierung muss hier zügig 
für Rechtssicherheit sorgen und eine 
klare gesetzliche Regelung auf den Weg 
bringen.“ Bisher müssen die Gerichte im 
Einzelfall entscheiden, ob sie eine Ab- 
nahme dees Gesichtsschleiers anordnen 
und gegebenenfalls erzwingen (Bayern 
will Gesichtsschleier vor Gericht verbie- 
ten, www.handelsblatt.com 21.09.2016; 
Gegen Vollschleier vor Gericht, SZ 
22.09.2016, 5). 


Bundu.a. 


Videoüberwachungskar- 
tierungsprojekt mit Open- 
streetmap 


Mit dem Label „Surveillance under 
Surveillance“ startete ein Kartografie- 
rungsprojekt, das Überwachungskame- 
ras weltweit anzeigt. Es visualisiert die 
Surveillance-Einträge von Openstreet- 
map, wobei es sich zumeist um Über- 
wachungskameras handelt, die nicht auf 
der regulären Openstreetmap-Karte an- 
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gezeigt werden. Auf der Karte ist ersicht- 
lich, ob es sich um klassische Kameras 
oder um Dome-Kameras handelt, die 
rundherum filmen können. Zudem wird 
erfasst, ob es sich um öffentliche Kame- 
ras, um Indoor-Kameras oder um Kame- 
ras handelt, die im Außenbereich hängen. 
Auch der Blickwinkel der Kameras kann 
eingetragen werden. So soll eine detail- 
lierte Karte der mittlerweile fast überall 
präsenten Videoüberwachung entstehen. 

Der Initiator des Projektes Max Kam- 
ba erläutert: „In unseren Städten gibt es 
kaum noch öffentlichen Raum, der nicht 
unter dauernder Beobachtung steht. Vie- 
len scheinen die Kameras nicht mal auf- 
zufallen und wenn doch, nicht zu stören. 
Dient ja der Sicherheit‘ und "wer nichts 
zu verbergen hat...‘. Um andere darauf 
hinzuweisen, wie schlimm es schon um 
das Thema Videoüberwachung bestellt 
ist, habe ich früher gerne auf das franzö- 
sische Projekt 'osmcamera‘ verlinkt, das 
genau wie Surveillance under Surveil- 
lance die weltweiten Surveillance-Ein- 
träge von Openstreetmap auf einer Karte 
dargestellt hat. Leider wurde die Seite 
kurz nach den Anschlägen auf die Kon- 
zerthalle Bataclan in Paris offline genom- 
men. Das hat mich veranlasst, den noch 
auf Github verfügbaren Code zu forken 
und mit meinem eigenen Projekt an den 
Start zu gehen. 

Die auf der Karte gezeigten Daten stel- 
len aber nur ein sehr verzerrtes Bild der 
Situation dar. Abhängig vom Engage- 
ment einzelner bei Openstreetmap Akti- 
ven sind Daten erfasst oder eben nicht. In 
Hannover, durch diverse Antikameraakti- 
onen des AK-Vorrat bekannt, gibt es mit 
über 1.100 Einträgen z. B. mehr erfasste 
Kameras als in Berlin (knapp über 1000). 
Kassel hingegen ist ein weißer Fleck. Da 
scheint die Welt noch in Ordnung zu sein, 
was ich allerdings nicht glauben kann.“ 

Alle, die einen Openstreetmap-Ac- 
count haben, können weitere Kameras er- 
fassen oder bereits verzeichnete Kameras 
korrigieren und damit die Karte verbes- 
sern. Projekte zur Erfassung von Über- 
wachungskameras gibt es schon lange. 
Viele arbeiteten nebeneinander her. Mit 
der Fokussierung des Projektes auf die 
Surveillance-Einträge bei Openstreetmap 
könnten nun erstmals die Erkenntnisse 
zusammengefügt werden (Reuter, Eine 
Weltkarte der Videoüberwachung, netz- 
politik.org, 10.08.2016). 
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Baden-Württemberg 


Polizei-Bodycams mit 
Prerecording 


Mit den Stimmen von CDU, den Grü- 
nen, der FDP/DVP und der AfD hat der 
Landtag von Baden-Württemberg einen 
Gesetzentwurf verabschiedet, der die 
Nutzung von Bodycams durch die Poli- 
zei regelt. Dabei wird der Polizei bei dem 
auf sechs Monate befristeten Pilotprojekt 
in drei Testregionen das Prerecording 
gestattet. In einen gesonderten Flash- 
Speicher werden kontinuierlich jeweils 
60 Sekunden aufgezeichnet, die erst bei 
einer aktivierten Aufnahme dauerhaft ge- 
speichert werden. Die AfD hatte ein Pre- 
recording von fünf Minuten gefordert, 
aber keinen eigenen Antrag gestellt. Die 
SPD hatte in ihrem Gesetzesvorschlag 
gefordert, auf das Prerecording ganz 
zu verzichten und damit den Bedenken 
des früheren Landesdatenschützers Lars 
Klingbeil entsprochen, der bei einer An- 
hörung von einer „massiven Datenspei- 
cherung auf Vorrat“ gesprochen hatte. 

Baden-Württemberg ist damit nach 
Hessen das zweite Bundesland, in dem 
die Bodycam mit dem umstrittenen Pre- 
recording arbeitet. In Rheinland-Pfalz 
hat man sich gegen das Prerecording ent- 
schieden. In Hessen wurde das Prerecor- 
ding nachträglich eingeführt; der Hessi- 
sche Datenschutzbeauftragte hatte keine 
Bedenken. Dieses Verfahren, das beim 
Einsatz der Bodycams in Nordrhein- 
Westfalen und Hamburg verboten ist, 
zeichnet in einer Endlosschleife sechzig 
Sekunden lang auf und überschreibt diese 
Aufzeichnung kontinuierlich. Erst wenn 
der eigentliche Aufnahmeknopf der Bo- 
dycam gedrückt wird, werden die letzten 
sechzig Sekunden fest gespeichert. Auf 
sie kann weder der Video-Operator noch 
die mit Bodycams ausgerüstete Polizei- 
streife zugreifen, sondern nur ein Vorge- 
setzter mit einem besonderen Passwort. 

In der abschließenden Aussprache vor 
der Gesetzesabstimmung betonte der 
grüne Abgeordnete Hans-Ulrich Sckerl, 
dass Bodycams „erwiesenermaßen“ ge- 
eignet seien, auf Angriffe auf Polizeibe- 
amte durch Abschreckung zu unterbin- 
den. Thomas Strobl (CDU), Minister für 
Inneres, Digitalisierung und Migration 
führte am Beispiel eines durch einen 
Messerangriff schwerverletzten Polizei- 


beamten aus, warum das Prerecording 
wichtig sein soll: In Extremsituationen 
müssten Polizisten handeln und könnten 
nicht auf die Aufnahmetaste drücken. 

Die Bodycam soll in Baden-Württem- 
berg bis zur Sommerpause 2017 getestet 
und wissenschaftlich evaluiert werden, 
ehe der Landtag über eine Dauerlösung 
abstimmt. Bislang gibt es keinen wissen- 
schaftlich validen Nachweis zur Wirkung 
von Bodycams. Auch die Zweckgebun- 
denheit des Prerecording ist noch nicht 
untersucht worden. Dies stellte Heiko 
Arnd, Leiter der Arbeitsgruppe Bodycam 
bei der rheinland-pfälzischen Polizei in 
einer Anhörung vor dem Landtag Nord- 
rhein-Westfalens am 27. September fest. 

Nach seinen Angaben zum Pilotpro- 
jekt kamen Bodycams in 8.290 Fällen in 
Rheinland-Pfalz zum Einsatz, wobei 591 
Aufnahmen entstanden. Von diesen Auf- 
nahmen wurden 192 dauerhaft gespei- 
chert (von der automatischen Löschung 
nach zwei Wochen ausgenommen) und 
97 der Staatsanwaltschaft als Beweis- 
mittel übergeben. Sein vorläufiges Fazit: 
„Ob die Bodycam eine präventive Wir- 
kung hat, ist vor allem von der Wahrneh- 
mungsfähigkeit des betroffenen Bürgers 
abhängig. Eine Reaktion findet jedoch 
grundsätzlich statt. Ist die Wahrnehmung 
des Betroffenen jedoch durch Alkohol-, 
Drogen- oder anderen Medikamenten- 
konsum beeinflusst, scheint die Body- 
cam ab einem bestimmten Grad keine 
Wirkung zu entfalten“ (Borchers, Baden- 
Württemberg beschließt Bodycam-Ein- 
führung mit Prerecording, www.heise.de 
12.10.2016). 


Bayern 


Gesinnungsüberprüfung 
bei Richter-Bewerbungen 
geplant 


Die bayerische Staatsregierung will 
künftig alle neuen RichterInnen vor ihrer 
Einstellung vom Verfassungsschutz über- 
prüfen lassen. Mit ihrem Beschluss vom 
27.09.2016 will das Kabinett die Wieder- 
holung eines Vorgangs aus dem Jahr 2014 
vermeiden, als ein aus Berlin zugezoge- 
ner Rechtsradikaler im oberfränkischen 
Lichtenfels Amtsrichter geworden war. 
Der Neonazi in der bayerischen Richter- 
robe hatte 2014 bundesweit Schlagzeilen 
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gemacht — er war dem Brandenburger 
Verfassungsschutz als Protagonist des 
rechtsextremen Musikprojekts „Hassge- 
sang“ bekannt. „Adolf Hitler, Sieg Heil 
tönt zu Dir empor“, soll der Mann getex- 
tet haben. Er hatte in Berlin Rechtswis- 
senschaften studiert und dort auch sein 
Referendariat absolviert, bevor er als Zi- 
vilrichter in den bayerischen Staatsdienst 
wechselte. Die rechtsradikale Gesinnung 
des Mannes war vorab an die bayerischen 
Behörden übermittelt worden. Dennoch 
fiel die Vergangenheit des Richters erst 
nach Monaten und nur durch Zufall auf. 
Justizminister Winfried Bausback (CSU) 
ließ den Mann nach Bekanntwerden sei- 
ner extremistischen Aktivitäten unver- 
züglich aus dem Dienst entfernen. 

Innenminister Joachim Herrmann 
(CSU) hatte anschließend eine Regelan- 
frage beim Verfassungsschutz für sämtli- 
che neue BeamtInnen ins Spiel gebracht, 
was zu einer Überprüfung von alljährlich 
vielen Tausend Bewerbenden durch das 
Landesamt für Verfassungsschutz führen 
würde. Nun sollen nur Richterbewerbe- 
rInnen überprüft werden. Justizminister 
Bausback erläuterte: „Das Richteramt 
ist ein besonders herausgehobenes und 
äußerst verantwortungsvolles Amt“. Der 
Staat müsse schon vor der Einstellung 
sicherstellen, „dass unsere künftigen 
Richterinnen und Richter mit beiden 
Beinen auf dem Boden des Grundgeset- 
zes stehen“. Die Überprüfung soll erst 
erfolgen, nachdem das Vorstellungsge- 
spräch positiv ausging und die Betroffe- 
nen ihre Einwilligung erteilt haben. Wer 
die Zustimmung verweigert, wird nicht 
eingestellt. Ulrike Grote von den Grünen 
kritisierte diesen „überzogenen Grund- 
rechtseingriff“. Die Verbände dagegen 
reagierten positiv, etwa Rolf Habermann, 
Vorsitzender des Bayerischen Beamten- 
bunds: „Wir unterstützen alle Maßnah- 
men, die die Verfassungstreue im öf- 
fentlichen Dienst sicherstellen.“ Für den 
bayerischen Richterverein ist es wichtig, 
dass die Bewerbenden bei Zweifeln an 
ihrer Verfassungstreue gehört werden, so 
der Vorsitzende Walter Groß: „Wir sind 
überzeugt, dass die Verfassungstreue von 
Richtern und Staatsanwälten gewähr- 
leistet sein muss“ (Verfassungsschutz 
soll neue Richter in Bayern überprüfen, 
www.nordbayern.de 23.09.2016; Verfas- 
sungsschutz soll neue richter überprüfen, 
SZ 28.09.2016, 30). 
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Nordrhein-Westfalen 


Ausländerbehördenmit- 
arbeiter wegen Spionage 
für Indien verdächtigt 


Ein 58-jähriger deutscher Mitarbeiter 
der Ausländerbehörde Ostwestfalen soll 
in Deutschland lebende indische Staats- 
angehörige ausspioniert haben. Sein Auf- 
traggeber sei ein indischer Geheimdienst 
gewesen. Er wurde Februar 2016 wegen 
dringendem Tatverdacht festgenommen 
und in Untersuchungshaft gebracht. 
Die Bundesanwaltschaft führte ihn am 
21.09.2016 dem Ermittlungsrichter des 
Bundesgerichtshofs wegen „geheim- 
dienstlicher Agententätigkeit und Verlet- 
zung des Dienstgeheimnisses in 45 Fäl- 
len“ vor. Der Geheimdienst soll vor allem 
an Informationen über oppositionelle und 
extremistische Sikhs interessiert gewe- 
sen sein. Diese soll sich der Beschuldigte 
über seine Zugänge zu amtlichen Regis- 
tern selbst beschafft haben. Der Tatver- 
dächtige habe die gesammelten Informa- 
tionen tatsächlich an den indischen Nach- 
richtendienst weitergegeben. Sowohl Pri- 
vaträume als auch die Diensträume des 
Beschuldigten wurden durchsucht (Mut- 
maßlicher Agent festgenommen, www. 
tagesschau.de 17.09.2016; Der indische 
Spion, SZ 21.09.2016, 5). 


Hamburg 


Caspar verbietet Face- 
book die Entgegennahme 
von WhatsApp-Daten 


Hamburgs Datenschutzbeauftragter 
(HmbBfDI) Johannes Caspar hat Ende 
September 2016 Facebook mit soforti- 
ger Wirkung untersagt, Daten von deut- 
schen WhatsApp-Nutzenden zu erheben 
und zu speichern. Zudem müsse Face- 
book bereits von WhatsApp übermittelte 
Daten löschen. Die rund 35 Millionen 
WhatsApp-AnwenderInnen in Deutsch- 
land müssten selbst entscheiden können, 
ob sie eine Verbindung ihres Kontos mit 
Facebook wünschen, so Caspar: „Dazu 
muss Facebook sie vorab um Erlaubnis 
fragen. Dies ist nicht geschehen.‘ Face- 
book kündigte an, gegen die Anordnung 
Rechtsmittel einzulegen. 


WhatsApp hatte zuvor im August an- 
gekündigt, künftig die Nutzerdaten des 
Dienstes an Facebook weiterzugegeben. 
WhatsApp teilt der Konzernmutter die 
Inhalte der Adressbücher mit Telefon- 
nummern mit sowie auch Informationen 
darüber, wie häufig der Kurzmitteilungs- 
dienst genutzt wird. Betroffen von dem 
Austausch sind also nicht nur die Nut- 
zenden selbst, sondern auch deren Kon- 
takte.. WhatsApp-Mitglieder konnten 
zwar der Verwendung ihrer Daten für die 
Personalisierung von Facebook-Wer- 
bung und Freunde-Vorschläge wider- 
sprechen. Die Telefonnummern werden 
allerdings in jedem Fall mit Facebook 
geteilt, wenn jemand die App weiter 
nutzen will. 

Der HmbBfDI argumentiert, Face- 
book und WhatsApp seien selbststän- 
dige Unternehmen, welche die Daten 
ihrer Nutzenden jeweils auf Grundlage 
ihrer Nutzungs- und Datenschutzbedin- 
gungen verarbeiten. Nach dem Erwerb 
von WhatsApp durch Facebook vor 
zwei Jahren hatten deren Chefs Mark 
Zuckerberg und Jan Koum zugesichert, 
dass Daten der Nutzenden nicht unter- 
einander ausgetauscht würden. Koum 
im Jahr 2014: „Das wird sich für euch, 
unsere Benutzer, ändern: nichts“. Keine 
Anzeigen, Silicon-Valley-Ehrenwort: 
„Du kannst Dich absolut darauf verlas- 
sen, dass deine Kommunikation nicht 
durch Werbung gestört wird.“ Caspar: 
„Dass dies nun doch geschieht, ist nicht 
nur eine Irreführung der Nutzer und der 
Öffentlichkeit, sondern stellt auch ei- 
nen Verstoß gegen das nationale Daten- 
schutzrecht dar“. In den zwei Jahren hat 
WhatsApp seine Nutzerzahl auf mehr 
als eine Milliarde verdoppelt. 

Eine Sprecherin von Facebook be- 
hauptete dagegen, dass sich das soziale 
Netzwerk an europäisches Datenschutz- 
recht halte: „Wir sind offen, mit der 
Hamburger Datenschutzbehörde zusam- 
menzuarbeiten, um ihre Fragen zu klä- 
ren und Bedenken auszuräumen“. Auf 
eine Beendigung des Datenaustauschs 
zwischen WhatsApp und Facebook 
wollten sich die Unternehmen nicht ein- 
lassen. 

Facebook hat nun die Möglichkeit, Wi- 
derspruch einzulegen, der allerdings kei- 
ne aufschiebende Wirkung hat, da die so- 
fortige Vollziehbarkeit angeordnet wurde. 
Hiergegen kann und wird Facebook beim 
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Verwaltungsgericht vorgehen. Sollte das 
soziale Netzwerk der vollstreckbaren An- 
ordnung nicht folgen, kann der HmbBf- 
DI ein Zwangsgeld in Höhe von bis zu 
1 Mio. Euro verhängen. 

Wegen des gleichen Vorgangs hat- 
te zuvor die Verbraucherzentrale Bun- 
desverband (vzbv) von WhatsApp eine 
Unterlassungserklärung gefordert. Die 
Facebook-Tochter hat aber die ihr gesetz- 
te Frist verstreichen lassen, so dass nun 


auch der vzbv zivilrechtlich gegen den 
Datenaustausch vorgehen wird (8. 0.). 
Der HmbBfDI hatte in der Vergangen- 
heit bereits mehrfach versucht, gegen 
Datenschutzverstöße von Facebook vor- 
zugehen. Zuletzt wollte er durchsetzen, 
dass Facebook auch Anmeldungen un- 
ter einem Pseudonym zulässt, scheiterte 
aber vor der Verwaltungsgerichtsbarkeit 
in Hamburg (DANA 3/2016, 154 f.). 
Das Gericht hatte Caspar an die Nieder- 


Datenschutznachrichten aus dem Ausland 


Weltweit 


PI veröffentlicht Surveil- 
lance Industry Index 


Privacy International (PI) hat seinen 
„Surveillance Industry Index“ überar- 
beitet und deutlich ausgebaut und listet 
nun 42 deutsche Firmen auf, die Über- 
wachungstechnik verkaufen. Deutsch- 
land gehört hinter den USA, Großbri- 
tannien und Frankreich sowie vor Israel 
zu den „Top 5“ der Nationen mit den 
weltweit die meisten Herstellern und 
Exporteuren. Die Bürgerrechtsorgani- 
sation PI hat den Index am 02.08.2016 
gemeinsam mit dem Projekt Trans- 
parency Toolkit ins Netz gestellt. Zu 
den 42 deutschen Firmen, die Systeme 
verkaufen, mit denen sich Telekommu- 
nikation abhören, Computer mit Troja- 
nern heimlich durchsuchen, Nutzer von 
Mobiltelefonen verfolgen oder soziale 
Netzwerke auswerten lassen, gehö- 
ren Elaman, Ipoque, Gten, DigiTask, 
Cognitec Systems, Utimaco, Secunet, 
Syborg, Siemens, Rohde und Schwarz, 
Rheinmetall oder FinFisher. Fünf da- 
von haben ihren Hauptsitz in München. 
Eine Übersicht zu den belieferten Län- 
dern gibt es auf Netzpolitik.org. 

Nach den Snowden-Enthüllungen 
2013 brachte PI erstmals mit seinem 
Index mehr Licht ins Dunkel der pri- 
vaten Überwachungshelfer. Die Daten- 
bank enthielt damals 338 Unternehmen 
aus 36 Ländern. Die zivilgesellschaft- 
liche Institution entschied sich aber, 
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die Webseite wieder offline zu nehmen, 
nachdem sie einen Fehler in der ihr 
zugrundeliegenden Drupal-Software 
entdeckt hatte. Nun sind 528 Unter- 
nehmen im Verzeichnis; es ist komplett 
durchsuchbar und soll regelmäßig ak- 
tualisiert werden. Die Informationen 
über 600 einzelne Exporte spezifischer 
Überwachungsprodukte mit Angaben 
auch zu den Einkaufsländern stammen 
aus offen verfügbaren Quellen ein- 
schließlich investigativer und techni- 
scher Analysen sowie aus staatlichen 
Export-Datenbanken. Berücksichtigt 
sind rund 1.500 Verkaufsbroschüren 
und vergleichbares Material, mit dem 
die Firmen nicht nur in autoritären Re- 
gimen um Kundschaft buhlen. Für den 
ursprünglichen Index hatte PI unter an- 
derem die von Wikileaks veröffentlich- 
ten Spy Files ausgewertet. 

PI veröffentlichte zudem einen Be- 
richt über die globale Überwachungs- 
industrie. 87% der Unternehmen aus 
der Datenbank sitzen demnach in den 
OECD-Mitgliedstaaten, 75% in Nato- 
Ländern. Einen genaueren Blick wer- 
fen die Verfasser auf die Aktivitäten 
dieser Firmen in Deutschland, Italien, 
Großbritannien, Israel und den USA. 
Sie analysieren 152 gemeldete Importe 
von Überwachungstechnik in den Na- 
hen Osten und Nordafrika. 

Die ermöglichten Einblicke in eine 
sehr auf Geheimhaltung bedachte In- 
dustrie sind gemäß Edin Omanovic 
von PI wichtig, um die Beteiligten zur 
Rechenschaft ziehen und umfassenden, 


lassung von Facebook in Irland verwie- 
sen, die das soziale Netzwerk in Europa 
betreibt (Hurtz, Verkauft und verraten, 
SZ 22.09.2016, 19; Kannenberg, Daten- 
schutzbeauftragter verbietet Facebook 
WhatsApp-Datenabgleich, www.heise. 
de 27.09.2016, HmbBfDI, Anordnung 
gegen Massendatenabgleich zwischen 
WhatsApp und Facebook, 27.09.2016; 
Hurtz, Allein gegen Facebook, SZ 
28.09.2016, 5). 


auch politischen Schutz entwickeln zu 
können. M. C. McGrath vom Transpa- 
rency Toolkit bezeichnete die Daten- 
bank als wertvolle Ressource für Jour- 
nalistInnen, AktivistInnen, Forschende 
oder PolitikerInnen. Mit den vielfäl- 
tigen Filtermethoden lasse sich rasch 
selbst herausfinden, mit welchen Über- 
wachungsmitteln man möglicherweise 
ausgespäht wird. Eine ähnliche Daten- 
bank hatte schon Andy Müller-Maguhn 
unter Bugged Planet ins Leben gerufen. 
In einer Stellungnahme zu der Ver- 
öffentlichung stellte Secunet fest, dass 
die Firma weder Systeme zum Abhören 
noch Trojaner zum heimlichen Durch- 
suchen von Computern oder ähnliche 
Software herstellt. Secunet wird in der 
PI-Datenbank im Zusammenhang mit 
Counter-Surveillance-Techniken er- 
wähnt (Krempl, Neue Datenbank be- 
leuchtet die globale Überwachungsin- 
dustrie, www.heise.de 02.08.2016). 


Belgien 


Bahnkundschaft soll iden- 
tifiziert werden 


Die belgische Regierung plant, Daten 
von Nutzenden aller öffentlichen Ver- 
kehrsmittel zu erheben, mit denen das 
Land erreicht werden kann, also neben 
Flugzeugen auch Bahnen, Busse und 
Schiffe. Das würde wohl bedeuten, dass 
sich die KundInnen vor Abfahrt beim 
Ticketkauf am Schalter, am Kartenau- 
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tomaten oder im Internet erst persönlich 
ausweisen müssten. Der Terrorismus hat 
schon heute Folgen für die Freiheit und 
die Mobilität der Menschen in Euro- 
pa: Im Flugverkehr sollen von 2018 an 
in allen Staaten ausführliche Daten der 
Passagiere registriert und monatelang ge- 
speichert werden. Dies soll dann in Bel- 
gien vor allem auch für den Bahnverkehr 
gelten. 

Die Bahn-Unternehmen in Europa 
reagierten alarmiert, so z. B. die Deut- 
sche Bahn: „Das diskutierte Gesetz hät- 
te weitreichende Auswirkungen auf den 
Eisenbahnverkehr zwischen Deutschland 
und Belgien und würde die Freizügigkeit 
unserer Kunden infrage stellen.“ Der 
Europäische Eisenbahnverband CER 
schrieb einen Protestbrief an Belgiens 
Premier Charles Michel, dessen Innen- 
minister Jan Jambon von der flämisch- 
separatistischen N-VA den Plan forciert. 
Es seien gerade die Flexibilität und der 
offene Zugang, die das Bahnfahren at- 
traktiv machten. Die Datenerhebung 
und Kontrolle wären derart aufwendig, 
dass dadurch KundInnen vertrieben und 
zum Ausweichen auf das Auto veranlasst 
würden. Außerdem liefen die Pläne dem 
Schengener Abkommen über grenzfreies 
Reisen in Europa zuwider. 

Die Regierungsvorlage, über die das 
Parlament im Oktober 2016 diskutierte, 
geht auf die Anschläge von Brüssel im 
März 2015 zurück. Eine Sprecherin Jam- 
bons erläuterte: Terroristen wählten den 
Weg des geringsten Widerstands. Des- 
halb müssten alle Verkehrsmittel Rich- 
tung Belgien erfasst werden. Allerdings 
würden von den Bahnen weniger Daten 
angefordert als von Fluggesellschaften. 
In der EU-Kommission ist man nicht 
glücklich über die belgischen Pläne, 
kann und will aber nicht verhindern, dass 
Staaten zu solchen Maßnahmen greifen. 
Eine Studie zum Thema Bahn und Si- 
cherheit vom November 2016 untersucht 
das Phänomen. Im EU-Parlament sind 
die Reaktionen unterschiedlich geteilt. 
Der Grüne Jan Philipp Albrecht fragte: 
„Ist es sinnvoll, immer mehr Daten über 
Lebensumstände zu sammeln, die in kei- 
nem Zusammenhang mit dem Risiko ste- 
hen?“ Der CDU-Abgeordnete Axel Voss 
hingegen erklärte, er wolle sich einer ent- 
sprechenden Diskussion nicht verwehren 
(Kirchner, Gläserne Waggons, SZ 01.- 
03.10.2016, 11). 
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Schweiz 


Referendum erfolgreich 
für mehr Geheimdienst- 
befugnisse 


Bei einem Referendum am 25.09.2016 
hat sich eine klare Mehrheit der schwei- 
zer Abstimmungsberechtigten für die 
Ausweitung der Überwachungsbefug- 
nisse des nationalen Geheimdienstes 
entschieden. Bei einer Stimmbeteiligung 
von ca. 42% haben 65,5% für ein vom 
Parlament bereits gebilligtes Gesetz ge- 
stimmt, das es dem Nachrichtendienst 
des Bundes (NDB) zur Abwehr von Ter- 
roranschlägen in Einzelfällen und bei be- 
gründetem Verdacht erlaubt, Telefonate 
abzuhören, Wohnungen zu verwanzen 
und Internetaktivitäten zu verfolgen. Das 
Gesetz war bereits vor einem Jahr verab- 
schiedet worden, kam aber noch nicht in 
Kraft, da es durch das Referendum bestä- 
tigt werden musste. 

GegnerInnen des Gesetzes beklagen, 
dass dadurch die Bürgerrechte stark ein- 
geschränkt werden. Durch die Maßnah- 
me könne Terrorismus kaum verhindert 
werden. Die offizielle Neutralität der 
Schweiz werde durch das Gesetz unter- 
graben. Derzeit dürfen die Schweizer 
Behörden lediglich öffentlich verfügbare 
Informationen oder Tipps von ausländi- 
schen Behörden nutzen, wenn sie Bedro- 
hungslagen innerhalb der Schweiz beob- 
achten. Die BefürworterInnen machten 
geltend, dass der Geheimdienst mehr 
Möglichkeiten haben müsse, um bereits 
die Planungen für etwaige terroristische 
Anschläge zu erkennen und dadurch zu 
unterbinden. Die Schweiz müsse den 
Anschluss an andere Länder finden, um 
gegen Cyberkriminalität, Spionage und 
Extremismus zu kämpfen. Die vorgese- 
henen Eingriffe in Grundrechte seien auf 
einige wenige und zudem klar begründe- 
te Verdachtsfälle beschränkt. Vor solchen 
Überwachungen müsse schließlich stets 
die Zustimmung von Regierungsstellen 
und des Verwaltungsgerichtes eingeholt 
werden. 

Amnesty International kritisierte das 
Ergebnis der Abstimmung. Das neue 
Gesetz ermögliche „unverhältnismäßige 
Überwachungsmaßnahmen“ und stel- 
le eine Bedrohung für die Privatsphäre 
und die Meinungsäußerungsfreiheit dar. 


Patrick Walder, Kampagnenkoordina- 
tor von Amnesty International Schweiz 
meinte: „Dass die Mehrheit der Stimm- 
berechtigten dem Nachrichtendienstge- 
setz zugestimmt hat, zeigt wohl, dass die 
Angst vor Terroranschlägen auch in der 
Schweiz überwiegt“. Er bezweifle, dass 
mehr Überwachung automatisch auch 
mehr Sicherheit bringe (Schweizer stim- 
men für mehr Überwachung, www.zeit. 
de 25.09.2016). 


USA 


Yahoo soll US-Behörde 
Zugriff auf alle E-Mail ge- 
währt haben 


Unter der Führung von Marissa Mayer 
entwickelte Yahoo 2015 eine neue Soft- 
ware, mit der alle für Yahoo-KundInnen 
eintreffenden E-Mails nach einer be- 
stimmten Zeichenfolge durchsucht wur- 
den. Yahoo hatte Presseberichten zufolge 
eine geheime Anordnung eines US-Ge- 
heimdienstes erhalten, alle für KundIn- 
nen eingehende E-Mails in Echtzeit zu 
scannen. Seit April 2015 wurden danach 
Treffer umgeleitet und so gespeichert, 
dass der Geheimdienst online darauf zu- 
greifen konnte. Es ist der erste bekannt 
gewordene Fall dieser Art. Bisher wur- 
den zwar regelmäßig die in einzelnen 
Mailboxen gespeicherten Daten gesichtet 
oder eine kleine Anzahl von Mailboxen 
überwacht, aber von einer umfassenden 
Überwachung durch einen Provider war 
noch nichts bekannt. 

Ob Yahoo noch immer scannt, ist nicht 
bekannt. Die Anordnung soll vom FBI 
stammen, der im Inland regelmäßig im 
Auftrag der NSA tätig wird. Die Mög- 
lichkeit, gegen die geheime Anordnung 
vor Gericht zu gehen, soll Mayer nicht 
genutzt haben, was mehrere hochrangi- 
ge Yahoo-Manager verärgert haben soll. 
Die Abteilung von Sicherheitschef Alex 
Stamos soll auf Mayers Geheiß kom- 
plett umgangen worden sein. Vielmehr 
programmierte die E-Mail-Abteilung die 
neue Software und installierte sie, ohne 
die Security-KollegInnen mit einzube- 
ziehen. Einige Wochen danach soll die 
Sicherheitsabteilung die nicht von ihr 
autorisierte Software gefunden und für 
das Resultat eines Hacks gehalten haben. 
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Das Programm soll zudem nicht sauber 
programmiert worden sein, so dass die 
zum Abruf durch den Geheimdienst on- 
line gespeicherten E-Mails schlecht ge- 
sichert waren und Hacker darauf hätten 
zugreifen können. Yahoo musste jüngst 
eingestehen, dass Hacker 2014 Profilin- 
formationen von mindestens 500 Mio. 
Nutzenden erbeutet haben. Stamos kün- 
digte Yahoo im Juni 2015 und wurde Fa- 
cebooks Sicherheitschef. 

Der Transparenzbericht für das erste 
Halbjahr 2015 von Yahoo verschweigt 
die Arbeit für den US-Geheimdienst. 
Dort heißt es, dass 8424 Konten von 
US-Regierungsanfragen betroffen wa- 
ren („Total Government Specified Ac- 
counts“). Auch im Transparenzbericht 
für das zweite Halbjahr, der das erste 
Halbjahr mit einschließt, berichtet Yahoo 
nur von 9373 betroffenen Konten. Wenn 
tatsächlich alle Yahoo-Konten überwacht 
worden sind, hätten hier Hunderte Mil- 
lionen Konten genannt werden müssen. 
Eine Version von US-Regierungsbefeh- 
len, die National Security Letters (NSL), 
werden mit sechs Monaten Verzögerung 
statistisch erfasst. NSL dürfen sich aber 
nicht auf den Inhalt von Kommunikation 
beziehen. 

Ob juristischer Widerstand seitens 
Yahoo gefruchtet hätte, ist nicht ab- 
schätzbar, zumal die vom Geheimdienst 
genutzte Rechtsgrundlage nicht bekannt 
ist. Mayer rechnete dem Bericht zufolge 
mit einer Niederlage vor Gericht. Das 
Begehren des Geheimdienstes war ext- 
rem weit gefasst. Und Yahoo sollte nicht 
bloß Daten herausgeben, es musste neue, 
nicht-triviale Software schreiben, um 
dem Begehren überhaupt entsprechen zu 
können. Dieser Zwang könnte gegen den 
ersten sowie den fünften Zusatzartikel der 
US-Verfassung verstoßen. Apple hatte 
sich Ende Februar 2016 vor einem New 
Yorker Bundesbezirksgericht erfolgreich 
dagegen gewehrt, eine neue Variante von 
iOS zur Erleichterung der Überwachung 
programmieren zu müssen. Die Staatsan- 
walt hatte zunächst gegen diese Nieder- 
lage Berufung eingelegt, dann aber die- 
sen Antrag zurückgezogen und damit ein 
Urteil in einem Präzedenzfall vermieden 
(DANA 2/2016, 99 ff.). 

Die US-amerikanische Konkurrenz 
von Yahoo distanzierte sich deutlich vom 
Vorgehen des Unternehmens. Google 
und Apple versicherten, nie eine ent- 
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sprechende Aufforderung bekommen zu 
haben. Ansonsten hätte man sich gewei- 
gert beziehungsweise wäre vor Gericht 
dagegen vorgegangen. Microsoft erklärte 
ebenso, nie solch eine Überwachungs- 
aufforderung erhalten zu haben. Auch 
Facebook — wo der damals bei Yahoo of- 
fenbar übergangene Ex-Sicherheitschef 
Alex Stamos inzwischen arbeitet — ver- 
sicherte, eine solche Aufforderung nie 
erhalten zu haben und dass die sonst auch 
bekämpft worden wäre. Ein Sprecher von 
Twitter gab das gleiche der Presse zu Pro- 
tokoll. Dem steht das offizielle Statement 
von Yahoo gegenüber, in dem es heißt: 
„Yahoo ist ein gesetzestreues Unterneh- 
men und hält sich an die Gesetze der 
Vereinigten Staaten.“ Ein Dementi der 
ursprünglich auf Basis zweiter anonymer 
Quellen erhobenen Vorwürfe sähe wohl 
anders aus. 

Die NSA, der britische GCHQ und 
andere westliche Geheimdienste greifen 
in großem Umfang internationale Kom- 
munikation ab, spionieren Unternehmen 
sowie staatliche Stellen aus und ver- 
pflichten Dienstleister im Geheimen zur 
Kooperation. Einzelheiten dieses totalen 
Überwachungssystems enthüllen streng 
geheime Dokumente, die der Whistleblo- 
wer und ehemalige NSA-Analyst Ed- 
ward Snowden an sich gebracht und 2013 
an Medien weitergegeben hat. 

Die Kritik an dem Vorgehen richtete 
sich so auch gegen die US-Regierung. 
Die Electronic Frontier Foundation (EFF) 
kommt zu dem Schluss, dass die E-Mail- 
Überwachung - sollte sie so stattgefunden 
haben — gegen die US-Verfassung ver- 
stößt. Zum ersten Mal sei von einer der- 
artigen Überwachungsverfügung auch ein 
Diensteanbieter betroffen. Das Vorgehen 
richte sich auch gegen US-BürgerInnen, 
die vor einer derartigen Überwachung 
eigentlich geschützt seien. Yahoo habe in 
diesem Fall offenbar selbst geholfen und 
dabei unter Umständen sogar neue Sicher- 
heitslücken geschaffen. Patrick Toomey 
von der American Civil Liberties Union 
(ACLU) bezeichnete die Enthüllung als 
„zutiefst verstörend“. Offenbar habe die 
US-Regierung Yahoo zu einer generellen 
und verdachtslosen Überwachung ver- 
pflichtet, die der vierte Zusatzartikel der 
US-Verfassung verbiete. Die KundInnen 
würden darauf setzen, dass sich Unterneh- 
men gegen solch ein Vorgehen vor Ge- 
richt wehren. Genau wie die EFF weist er 


darauf hin, dass die Anordnung offenbar 
unter Rückgriff auf Artikel 702 des For- 
eign Intelligence Surveillance Act formu- 
liert wurde. Der müsse endlich reformiert 
werden oder der US-Kongress dürfe ihn 
Ende 2016 nicht verlängern (Holland, E- 
Mail-Scanning bei Yahoo: Google, Apple 
& Co. bestreiten, bei Überwachung gehol- 
fen zu haben, www.heise.de 05.10.2016; 
Sokolov, Alle Mails gescannt: Yahoo ar- 
beitete für Geheimdienste, www.heise. 
de 05.10.2016; Yahoo unter Verdacht, SZ 
06.10.2016, 19). 


USA 


Eine halbe Milliarde 
Yahoo-Konten gehackt 


Bei Yahoo wurden Ende 2014 Daten 
von mehr als 500 Millionen Usern ab- 
gegriffen. Das Unternehmen teilte dies 
am 22.09.2016 über Sicherheitschef Bob 
Lord mit und äußerte die Vermutung, 
dass dahinter ein „staatlich finanzierter“ 
Angreifer steckt: „Wir haben bestätigt, 
dass Ende 2014 eine Kopie bestimmter 
Nutzerkontoinformationen aus dem Netz- 
werk der Firma gestohlen wurde“. Mit 
mindestens 500 Millionen betroffenen 
Konten inclusive Namen, E-Mail-Ad- 
ressen, Telefonnummern, Geburtsdaten, 
und Passwort-Hashes handelt es sich, 
gemessen an der Zahl der Opfer, um den 
größten bekannt gewordenen Hack der 
IT-Geschichte. Vorangegangen waren u. 
a. Hacks auf Tumblr (65 Mio.), Linkedin 
(117 Mio.), Myspace (360 Mio.). Un- 
glücklicherweise kommen bei Yahoo, so 
das Unternehmen „in manchen Fällen“ 
noch verschlüsselte oder unverschlüssel- 
te (!) Sicherheitsfragen und -antworten 
dazu. Bankverbindungen und Kreditkar- 
tendaten sollen nicht betroffen sein. Lord: 
„Die Untersuchung hat keine Beweise 
erbracht, dass der staatlich finanzierte 
Akteur derzeit in Yahoos Netz ist“. Bei 
der Aufklärung arbeite Yahoo mit den 
Strafverfolgungsbehörden zusammen. 
Im August 2016 waren im Netz 200 Mio. 
Yahoo-Datensätze feilgeboten worden. 

Yahoo informierte seine User per 
E-Mail und wies darauf hin, dass die- 
se Nachrichten nicht zum Klicken von 
Links oder zum Öffnen von Anhängen 
auffordern. Die Opfer sollen umgehend 
ihre Passwörter ändern. Gleiches emp- 
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fiehlt Yahoo allen seinen Nutzern, die ihr 
Passwort seit 2014 nicht mehr geändert 
haben. Die unverschlüsselt gespeicher- 
ten Sicherheitsfragen und -antworten 
funktionieren nicht mehr. Der Konzern 
riet: „Überprüfen Sie Ihre Konten auf 
verdächtige Aktivitäten“. 

Im Unterschied zu den USA spielt 
Yahoo und beispielsweise sein Mail- 
dienst in Deutschland eigentlich keine 
große Rolle mehr. Allerdings sind auch 
zu Yahoo gehörende Dienste wie Flickr 
und Tumblr nur mit einem Yahoo-Ac- 
count zu verwenden. 

Der Datendiebstahl wurde zu einem 
für den Konzern ungünstigen Zeitpunkt 
bekannt, da der Telekom-Konzern Ve- 
rizon diesen übernehmen will. Verizon 
erklärte, man werde die Situation aus- 
gehend aus den Interessen des eigenen 
Unternehmens sowie der Kunden und 
Aktionäre prüfen. Der Telekom-Riese 
sei erst zwei Tage vor der öffentlichen 
Bekanntmachung von dem Datendieb- 
stahl unterrichtet worden und verfüge 
zunächst nur über eingeschränkte Infor- 
mationen. Die Yahoo-Übernahme für 
rund 4,8 Milliarden Dollar war im Juli 
vereinbart worden. 

Unklar blieb bisher, seit wann genau 
Yahoo von dem gewaltigen Datendieb- 
stahl wusste. Nach Presseinformationen 
hatte das Unternehmen schon im Juli 
2016 Hinweise. In einer Pflichtmitteilung 
zum Verizon-Deal hatte Yahoo noch am 
09.09. erklärt, dem Unternehmen sei kein 
Diebstahl von Nutzerdaten bekannt (So- 
kolov, Rekordhack bei Yahoo: Daten von 
halber Milliarde Konten kopiert, www. 
heise.de 22.09.2016; Hurtz, Der größte 
Hack der Welt, SZ 24./25.09.2016, 27). 


USA 


Klage gegen datensam- 
melnde Vibrator-App 


Die Benutzerin eines Online-Vibra- 
tors aus dem US-Staat Illinois verklagt 
in den USA den Hersteller von We- 
Vibe, die kanadische Firma Standard 
Innovation, weil diese über eine App 
höchstpersönliche Daten über den Ein- 
satz des Masturbationsgerätes sammelt. 
Das teure Sexspielzeug kann nur mit 
einer bestimmten App voll ausgekostet 
werden; eine etwas günstigere Vari- 
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ante ist sogar „App-Only“. Diese App 
„We-connect“ überträgt intime Details 
an die Server des Herstellers. Die Klä- 
gerin beschuldigt Standard Innovation, 
das verheimlicht, und die Kundinnen 
so hinters Licht geführt zu haben. Die 
App muss auf einem Smartphone ins- 
talliert werden, das über Bluetooth mit 
dem We-Vibe verbunden wird. Aus ei- 
ner Vielzahl von vorgegebenen oder 
selbst kreierten Vibrationsmustern kann 
gewählt werden. In der Klage heißt es: 
„Die Beklagte hat We-Connect so pro- 
grammiert, dass [die App] heimlich 
intime Details über die Nutzung des 
We-Vibe sammeln, darunter Datum und 
Zeit jeder Nutzung, [Vibrationsintensi- 
tät], Vibrationsmodus oder -muster [...] 
und, unglaublicherweise, die E-Mail- 
Adresse [...], was die Beklagte die Ver- 
bindung der Nutzungsdaten mit einem 
bestimmten Kundenkonto ermöglicht“. 
We-Connect ermöglicht außerdem ei- 
nem Partner, mit der Benutzerin über 
Chat und Video in Verbindung zu treten. 
Sie kann dem Partner auch die Steue- 
rung des Sexspielzeugs überlassen. Die- 
se Funktion nennt Standard Innovation 
„connect lover“ und wird als „sichere 
Verbindung zwischen Ihren Smartpho- 
nes“ beworben. Tatsächlich werden die 
intimen Unterhaltungen aber ebenfalls 
über die Server des Herstellers geroutet. 

Die Klägerin, die zum Schutz ihrer 
Privatsphäre unter ihren Initialen N. P. 
auftritt, möchte ihre Klage als Sammel- 
klage für alle gleichermaßen betroffenen 
Nutzerinnen in den USA respektive Illi- 
nois zugelassen sehen. Außerdem hat sie 
ein Verfahren vor Geschworenen bean- 
tragt. Begehrt wird eine Unterlassungs- 
verfügung gegen Standard Innovation, 
Rückzahlung des vollen Kaufpreises, 
Schadenersatz und Strafschadenersatz. 
Die heimliche Datensammelei ohne 
Zustimmung der Betroffenen verletze 
ein Anti-Überwachungsgesetz auf Bun- 
des- und eines auf Staatenebene, ein 
Verbraucherschutzgesetz in Illinois und 
stelle außerdem ein illegales Eindringen 
in die Privatsphäre dar. Der Hersteller 
bestreitet die Sammlung der Daten nicht. 
Es sei gängige Praxis, die Daten nicht 
personenbezogen auszuwerten. Die Ser- 
ver seien nicht gehackt worden. Und die 
Registrierung mit E-Mail-Adresse sei 
optional. Nach Presseberichten erklär- 
te der Hersteller, er wolle künftig seine 


Verfahrensweisen mit den Daten „besser 
kommunizieren“ (Sokolov, Klage gegen 
neugierige Vibrator-App, www.heise.de 
16.09.2016). 


Kuweit 


DNA-Datenbank für Be- 
völkerung und Einreisen- 
de geplant 


Das Emirat Kuweit will 400 Mio. $ in 
eine gigantische Datenbank investie- 
ren, um angeblich der Terrorgefahr zu 
begegnen. Darin sollen die genetischen 
Fingerabdrücke aller BewohnerInnen 
des Emirats, also 1,3 Mio. Staatsangehö- 
rige sowie 2,9 Mio. dort ständig lebende 
AusländerInnen, hinterlegt werden: Au- 
Berdem sollen auch Geschäftsreisende 
und TouristInnen DNA-Proben vor der 
Einreise abgeben. 

Nachdem ein Anhänger der Terror- 
miliz Islamischer Staat (IS) vor einer 
schiitischen Moschee eine Bombe ge- 
zündet und 27 Menschen in den Tod 
gerissen hatte, beschloss das Parlament 
von Kuweit im Juli 2015 ein entspre- 
chendes, vom Innenministerium vor- 
bereitetes Gesetz. Mit der Datenbank 
soll künftig Verdächtigen die Einreise 
erschwert werden, und sie soll Opfer 
schneller identifizieren helfen, wenn es 
dennoch zu Anschlägen kommt. Als ei- 
gentlichen Grund hinter der Maßnahme 
wird von vielen vermutet, dass Kuwait 
die im Emirat lebenden Nachfahren von 
Beduinen loswerden möchte, die als 
Staatenlose am Rande der Gesellschaft 
leben. Über DNA-Tests könnte man ih- 
nen nachweisen, dass ihre Abstammung 
keine kuwaitische ist, und sie so dauer- 
haft von Sozialleistungen ausschließen 
oder gar ausweisen. 

Nachdem ein Jahr lang wenig ge- 
schah, hieß es im September 2016, das 
Gesetz werde „noch diesen Sommer“, 
„bald“ oder gar „sehr bald‘“ umgesetzt. 
Die kuwaitische Botschaft in Berlin 
machte dazu keine näheren Angaben. 
Institutionen versuchten derweil, das 
Vorhaben noch zu stoppen: Der UN- 
Menschenrechtsausschuss rief Kuwait 
im Juli 2016 auf, das Gesetz zu ändern; 
er fürchtet, das Beispiel könnte auch 
anderswo Schule machen. Die Europä- 
ische Gesellschaft für Humangenetik 
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wandte sich Anfang September 2016 
mit einem offenen Brief an das Emirat: 
In einem Land mit so strengen Gesetzen 
etwa zum Ehebruch könnten obligatori- 
sche DNA-Tests zu Verwerfungen füh- 
ren; z. B. weil die DNA von Kindern 
und Vätern wohl nicht in jedem Fall 
zueinanderpassen dürfte. Die Wissen- 
schaftlerInnen befürchten, die Daten 
könnten durch Hacker oder einen Um- 
sturz in falsche Hände geraten. 

Kuwait wäre der erste Staat mit ei- 
ner solchen Datenbank, die Folgen 
zeitigt, bevor sie eingerichtet ist. Die 
Presse vor Ort berichtet von einem seit 
kurzem anhaltenden Abwärtstrend bei 
Immobilienpreisen und zitiert Makler, 
die Villen und Luxuswohnungen zu 
Schleuderpreisen anbieten. Deren Ei- 
gentümer wollen das Emirat so schnell 
wie möglich verlassen, weil eine DNA- 
Probe abzugeben eine schlechte Idee für 
sie wäre. Manche haben nach Auskunft 
der Makler ihren kuwaitischen Pass nur 
durch Bestechung erlangt und fürchten 
nun aufzufliegen. Andere haben wohl 
Angst, weil ihre DNA an für sie eher un- 
vorteilhaften Orten schon gespeichert ist 
(Baumstieger, Der Emir will’s wissen, 
SZ 16.09.2016, 1). 


Thailand 


Touristische Mobilüber- 
wachung 


Die staatliche Telekommunikations- 
behörde NBTC gab bekannt, dass Thai- 
lands Militärjunta künftig TouristInnen 
elektronisch überwachen will, die sich im 
Land eine SIM-Karte für ihr Smartphone 
kaufen. Behördenchef General Takorn 
Tantasith erklärte, dabei gehe es nicht um 
die Einschränkung der Rechte der Urlau- 
ber, sondern um eine Unterstützung der 
Polizei, „wenn jemand zu lange im Land 
bleibt oder auf der Flucht ist“. Die Poli- 
zei solle die Sim-Karten nur dann orten 
dürfen, wenn ein Richter dies zuvor ge- 
nehmigt. 

Bislang können Touristen in Thailand 
Sim-Karten für ihre Handys kaufen, 
ohne sich ausweisen zu müssen. Man- 
che Fluggesellschaften verschenken 
auch Telefonkarten an Passagiere. Nach 
Thailand reisen jedes Jahr Millionen von 
TouristInnen, 2016 rund 32 Millionen. 
Der Tourismus sorgt für ein Zehntel des 
Bruttoinlandsprodukts. 

Seit ihrer Machtergreifung 2014 ver- 
sucht die Militärjunta, TouristInnen stär- 


ker zu kontrollieren. So gab es schon 
2014 Pläne, dass jeder Reisende ein sog. 
Sicherheitsarmband tragen soll, offizi- 
ell zu seinem Schutz. Der Polizeichef 
hatte dies wie folgt begründet: „Wenn 
Touristen betrunken sind und am Strand 
einschlafen, können wir sie zurück ins 
Hotel bringen“. Er verwies auf den Mord 
an zwei britischen Urlaubern an einem 
Strand. Diese Pläne waren aber schnell 
wieder begraben worden. 

Anfang 2016 berichteten thailändi- 
sche Medien, dass persönliche Daten 
von TouristInnen in einer zentralen 
Liste gespeichert würden. Auslän- 
derInnen, die in Thailand leben und 
arbeiten, müssen beim Kauf einer 
Sim-Karte oder beim Abschluss eines 
Mobilfunkvertrags bereits jetzt eine 
Kopie ihres Passes vorzeigen. Die 
thailändische Einwanderungsbehörde 
verfolgt in jüngerer Zeit einen stren- 
gen Kurs unter dem Motto „Bad guys 
out, good guys in“ (die Schlechten 
raus, die Guten rein). Wer sich länger 
im Land aufhält als erlaubt, muss mit 
einem Aufenthaltsverbot für lange Zeit 
rechnen (Thailand will Touristen per 
Sim-Karte überwachen, www.spiegel. 
de 09.08.2016). 


UT slalLaNF-Teialaleiait-Ya 


Mozilla künftig ohne Ak- 
ku-Fingerprinting 


Mit der Battery Status API können 
Webseiten den Ladezustand eines Netz- 
gerätes abfragen, worüber Nutzende 
identifiziert werden können. Eine im 
Frühjahr 2016 eingeführte Battery Status 
API wurde wegen Datenschutzbedenken 
von den EntwicklerInnen des Browsers 
Firefox aus der kommenden Version 52 
des Open-Source-Browsers vollständig 
entfernt. Die bereits 2012 in Firefox in- 
tegrierte Funktion wurde vom W3C zu- 
nächst als unkritisch eingestuft. Während 
Browser in der Regel nachfragen, bevor 
eine Webseite über die Browser-API den 
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Standort eines Nutzenden anfordern darf, 
kann der Akkuzustand in vielen Brow- 
sern in der Standardeinstellung ohne 
Benutzerintervention abgefragt werden. 
Theoretisch lässt sich diese Funktion 
dafür nutzen, um rechenintensive Funk- 
tionen einer Webseite wie selbständig ab- 
spielenden Videos zu unterbinden, wenn 
der Nutzende dafür keine Akkukapazitä- 
ten mehr zur Verfügung hat. 

Mehrere Forschende stellen in einer 
Studie fest, dass über die API der Lade- 
zustand teilweise auf sechs Nachkom- 
mastellen genau sowie exakte Daten zur 
benötigten Nachladedauer von Note- 
book, Tablet oder Smartphone über- 
mittelt werden. Mit ein paar Abfragen 


konnten die Forschenden zudem die Bat- 
teriekapazität ermitteln und so einen dau- 
erhaften Identifizierungswert generieren. 
Diese Möglichkeit wurde auch praktisch 
genutzt: Forschende der Princeton Uni- 
versity in den USA fanden in einer wei- 
teren Studie zwei Skripte, die mit Hilfe 
der Akku-Werte Nutzende identifizierten, 
auch wenn diese Cookies gelöscht hat- 
ten. Dieses Browser-Fingerprinting kann 
genutzt werden, um einem Nutzenden 
neue Cookies zuzuweisen, die ihn dauer- 
haft kennzeichnen oder ihn auf anderen 
Websites zu identifizieren. Websites, die 
die API-Funktion nutzten, um tatsächlich 
den Akku des Nutzenden zu schonen, 
entdeckten die Forscher hingegen nicht. 
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Neben Firefox unterstützen auch Chro- 
me und Chromium-basierte Browser die 
Battery Status API. Eine Testseite zeigt 
dem Nutzenden, ob die Funktion akti- 
viert ist. Wer sich vor solchem Akku- 
Fingerprinting schützen will, bevor die 
Firefox-Version 52 im Frühjahr 2017 
erscheint, kann die Konfigurations-Seite 
about:config öffnen und dort die Funk- 
tion „dom.battery.enabled‘“ deaktivieren 
(Kleinz, Datenschutzbedenken: Mo- 
zilla entfernt Akku-Fingerprinting aus 
Firefox. www.heise.de 01.11.2016). 


Flexibler Gesundheits- 
sensor ohne eigene 
Stromversorgung 


John Rogers, Forscher an der Uni- 
versity of Illinois in Urbana-Champain 


EGMR 


Hausdurchsuchung nach 
Steuer-CD-Auswertung 
zulässig 


Der Europäische Gerichtshof für 
Menschenrechte (EGMR) in Straßburg 
entschied mit Urteil vom 06.10.2016, 
dass die Nutzung von Steuer-CDs mit 
illegal beschafften Bankdaten durch Fi- 
nanzämter nicht gegen die Menschen- 
rechte verstößt, auch wenn auf dieser 
Grundlage eine Hausdurchsuchung 
angeordnet wird (33696/11). Geklagt 
hatte ein deutsches Ehepaar, dessen 
Wohnung 2008 im Rahmen eines Steu- 
erverfahrens durchsucht worden war. 
Sie sahen darin eine Verletzung ihres 
Rechts auf Schutz der Privatsphäre, 
weil die Durchsuchung erst möglich 
geworden war, nachdem der Bundes- 
nachrichtendienst (BND) illegal kopier- 
te Bankdaten von der LGT-Treuhand in 
Liechtenstein gekauft hatte. Das Paar 
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und Pionier bei der Arbeit mit dehn- 
barer Elektronik, stellte ein Gerät vor, 
das auf der Haut zu tragen ist und ohne 
eigene Batterie Herzschlag und UV- 
Exposition erfasst. Den nötigen Strom 
bezieht es über NFC-Funk von einem 
Mobiltelefon oder Tablet-Computer in 
der Nähe. Mit diesem Konzept sollen 
Gesundheitsmessungen billiger, kleiner 
und leichter werden. Von dem Spezia- 
list für „Epidermis-Elektronik“ wurden 
schon viele Gerätschaften entwickelt, 
in denen LEDs, winzige Elektronik und 
Sensoren auf dehnbaren Materialien 
untergebracht sind. Der neueste Sensor 
vereint mehrere seiner früheren Inno- 
vationen. Er erfasst lichtempfindliche 
Farben, um Kontakt mit UV-Licht zu 
registrieren. Er misst darüber hinaus mit 
Hilfe von vier LEDs, die Lichtstrahlen 
in unterschiedlichen Farben auf die Haut 


war von der Staatsanwaltschaft Bo- 
chum beschuldigt worden, Kapitalerträ- 
ge in Höhe von 2 Mio. € nicht erklärt 
und Steuern verkürzt zu haben. Aus 
Mangel an Beweisen wurde es später 
freigesprochen. 

Das Paar war schon vor dem Bundes- 
verfassungsgericht (BVerfG) im Jahr 
2010 mit einer Beschwerde geschei- 
tert (B. v. 09.11.2010, 2 BvR 2101/09, 
DANA 1/2011, 34 £.). Der EGMR be- 
rücksichtigte bei seiner Entscheidung 
ausdrücklich die Sicht des BVerfG, das 
die Beschwerde mangels Erfolgsaus- 
sicht nicht annahm, wonach es keine 
absolute Regel gibt, dass illegal erwor- 
bene Beweismittel zur Strafverfolgung 
nicht eingesetzt werden dürfen. Das 
Paar hätte wissen können, dass die Be- 
hörden auch dann darüber nachdenken 
würden, die Wohnungen zu durchsu- 
chen, wenn sie die Informationen durch 
Gesetzesbruch erhalten hätten. Außer- 
dem sei die Durchsuchung verhältnis- 
mäßig gewesen: Steuerhinterziehung 
sei ein schweres Vergehen und vor einer 


werfen, den Puls und den Sauerstoffge- 
halt im Blut. Veränderungen in der Far- 
be des reflektierten Lichts werden von 
Photodetektoren erkannt. Der Puls des 
Trägers wird dann über ein blinkendes 
Licht angezeigt. Ein Nachteil des batte- 
rielosen Design ist, dass der Träger sich 
nur wenige Zentimeter von Mobiltele- 
fon oder Tablet entfernen darf (Mattke, 
Pflaster-artiges Gesundheitsmessgerät 
mit Stromversorgung über NFC, www. 
heise.de 11.08.2016; Bourzac, Intelli- 
gentes Pflaster mit Strom vom Telefon, 
http://www.heise.de/tr/artikel/Intelli- 
gentes-Pflaster-mit-Strom-vom-Tele- 
fon-3291509.htm!). 


T-Teisigjelg-ieialälgte 


generellen Verletzung seiner Rechte sei 
das Ehepaar geschützt gewesen. 

2014 hatte der Verfassungsgerichts- 
hof (VfGH) Rheinland-Pfalz in Kob- 
lenz eine Verfassungsbeschwerde eines 
Kunden der Credit Suisse abgewiesen, 
dessen Wohnung auch durchsucht wor- 
den war. Der VfGH hatte aber betont, 
es dürfe „auch im Strafverfahren keine 
Wahrheitsermittlung um jeden Preis ge- 
ben“ (U. v. 24.02.2014, VGH B 26/13, 
DANA 2/2014, 84). Im Kampf gegen 
Steuerhinterziehung hat sich das Auf- 
kaufen von Steuer-CDs mittlerweile be- 
währt: In den vergangenen zehn Jahren 
erzielte der deutsche Staat Milliarden- 
erlöse mit den Bankdaten mutmaßlicher 
Steuerbetrüger. Bundesweit haben sich 
nach Angaben des nordrhein-westfäli- 
schen Finanzministeriums seit dem Jahr 
2010 rund 120.000 SteuerbetrügerInnen 
selbst angezeigt (Berger, Gericht bil- 
ligt Hausdurchsuchungen nach Ankauf 
einer Steuer-CD, www.sueddeutsche. 
de 06.10.2016; Leyendecker, Saubere 
Scheiben, SZ 07.10.2016, 1,5). 
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EuGH 


Internet-Nutzungsdaten 
dürfen für Sicherheits- 
zwecke gespeichert 
werden 


Der Europäische Gerichtshof (EuGH) 
hat mit Urteil vom 19.10.2016 entschie- 
den, dass dynamische IP-Adressen, also 
solche, die sich bei jedem neuen Ver- 
bindungsaufbau zum Internet ändern, 
personenbezogene Daten sind, wenn der 
Betreiber einer Webseite „über rechtliche 
Mittel verfügt“, Informationen über den 
Anschlussinhaber hinter der IP-Adresse 
vom Provider einzuholen (C-582/14). 
Da es in Deutschland solche rechtlichen 
Mittel gibt, „die es dem Anbieter von 
Online-Mediendiensten erlauben, sich 
insbesondere im Fall von Cyberattacken 
an die zuständige Behörde zu wenden, 
um die fraglichen Informationen vom 
Internetzugangsanbieter zu erlangen und 
anschließend die Strafverfolgung einzu- 
leiten“, seien sie datenschutzrechtlich 
geschützt. 

Gemäß $ 15 Telemediengesetzes 
(TMG) dürfen derartige Nutzungsdaten 
nur für Abrechnungszwecke und um die 
konkrete, gerade laufende Nutzung ei- 
nes Onlinedienstes sicherzustellen ver- 
arbeitet werden. Die Richter des EuGH 
sehen in dieser Regelung eine Kollision 
mit der Europäischen Datenschutzricht- 
linie (95/46), die noch bis 2018 gültig 
ist. Demnach kann es im „berechtigten 
Interesse“ eines Betreibers liegen, „die 
Aufrechterhaltung der Funktionsfähig- 
keit“ auch über die jeweilige Session 
des Nutzers hinaus zu gewährleisten. 
Zu diesem Zweck dürfe ein Betreiber 
personenbezogene Daten erheben und 
verarbeiten. Dieses berechtigte Interes- 
se hätten insbesondere die Betreiber der 
Websites des Bundes, also zum Beispiel 
die von Ministerien, es sei aber abzuwä- 
gen gegen das Interesse oder die Grund- 
rechte der Internetnutzer. Diese Abwä- 
gung fehle jedoch im TMG. 

Vor mehr als 8 Jahren geklagt hatte der 
Fraktionsvorsitzende der schleswig-hol- 
steinischen Piratenpartei, Patrick Breyer 
gegen die Bundesrepublik Deutschland, 
weil mehrere Bundesministerien und 
-behörden ungefragt monatelang seine 
IP-Adresse gespeichert hatten, wenn er 
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ihre Websites aufrief. Breyer betrach- 
tete das als ungerechtfertigten Eingriff 
in sein Grundrecht auf informationelle 
Selbstbestimmung und als Verstoß gegen 
das TMG. Er fürchtet, der Staat könne 
damit Nutzerprofile anlegen, etwa wenn 
sie sich auf der Seite des Bundesgesund- 
heitsministeriums über illegale Drogen 
informieren: „Es muss aufhören, dass 
Behörden und Konzerne unser Internet- 
nutzungsverhalten verfolgen und auf- 
zeichnen. Das grenzt an Stalking. Was 
ich lese, schreibe und wonach ich suche, 
spiegelt meine privatesten und intimsten 
Interessen, Überzeugungen, Vorlieben 
und Schwächen wieder und geht nieman- 
den etwas an.“ 

Der EuGH gestand den Website-Be- 
treibern kein Recht zu, ihre Nutzenden 
zu „verfolgen“, sondern stellte klar, dass 
das TMG nicht länger so ausgelegt wer- 
den darf, dass IP-Adressen grundsätzlich 
nicht gespeichert werden dürfen, um Si- 
cherheitsmaßnahmen für die Webseite 
durchzuführen. Die Daten könnten bei 
der Abwehr von Hackerangriffen helfen. 
Ob das stimmt, wird von Breyer bestrit- 
ten. Ein Gutachter hatte in der zweiten 
Instanz des Verfahrens behauptet, die 
Speicherung von IP-Adressen aus Grün- 
den der IT-Sicherheit sei nicht zwingend 
erforderlich, es gebe bessere Methoden, 
Angriffe abzuwehren oder zu verhindern. 

Über den konkreten Fall, also ob die 
deutschen Ministerien ein berechtigtes 
Interesse an der IP-Adressen-Speiche- 
rung haben und ob es die Interessen der 
Nutzer überwiegt, muss der Bundesge- 
richtshof (BGH) entscheiden, der den 
EuGH angerufen hatte. Er findet im Eu- 
GH-Urteil aber eine ziemlich unmissver- 
ständliche Empfehlung vor (Beuth, Mi- 
nisterien dürfen IP-Adressen speichern, 
www.zeit.de 19.10.2016). 


EuGH 


Passwortschutz bei 
öffentlichem WLAN- 
Angebot 


Der Europäische Gerichtshof (EuGH) 
hat mit Urteil vom 15.09.2016 zur Stö- 
rerhaftung entschieden, dass Urheber- 
rechtsinhaber bei geschäftlichen An- 
bietern von kostenlosem öffentlichen 
WLAN nicht notwendigerweise einen 


Anspruch auf Schadensersatz haben, 
wenn in deren Netz von jemand ande- 
rem eine Urheberrechtsverletzung be- 
gangen worden ist (C-484/14). Sie kön- 
nen sich aber an eine Behörde oder ein 
Gericht wenden, wenn es zu einer Urhe- 
berrechtsverletzung gekommen ist, wo 
sie beantragen können, dass der Anbie- 
ter des offenen Netzes in Zukunft sein 
WLAN mit einem Passwort schützen 
muss. Eine Anordnung zur Sicherung 
des Anschlusses mit einem Passwort sei 
geeignet, ein Gleichgewicht zwischen 
den Rechten am geistigen Eigentum, 
dem Recht der Anbieter von Internetzu- 
gängen auf unternehmerische Freiheit 
und dem Recht der Nutzer auf Infor- 
mationsfreiheit zu gewährleisten. Die 
Nutzenden müssten ihre Identität offen- 
baren, um das Passwort zu bekommen. 

Der EuGH-Generalanwalt Maciej 
Szpunar kam in wichtigen Teilen zu ei- 
nem ähnlichen Ergebnis, hatte in seinem 
Gutachten allerdings weitreichende Auf- 
lagen zum Schutz der Hotspots gegen 
Missbrauch für unzulässig angesehen. 
Prüfungsmaßstab des Gerichts war die 
europäische E-Commerce-Richtlinie. 
Die E-Commerce-Richtlinie, so der 
EuGH, schließt aber ausdrücklich Maß- 
nahmen aus, die auf eine Überwachung 
der durch ein Kommunikationsnetz 
übermittelten Informationen abzielt. 
Auch eine Maßnahme, die in der voll- 
ständigen Abschaltung des Internetan- 
schlusses bestünde, ohne dass die un- 
ternehmerische Freiheit des Anbieters 
weniger beschränkende Maßnahmen in 
Betracht gezogen würden, wäre nicht 
geeignet, die einander widerstreitenden 
Rechte in Einklang zu bringen. 

Im aktuellen Fall ging es um den deut- 
schen Piraten-Politiker Tobias McFad- 
den. Sony hatte McFadden bereits 2010 
aufgefordert, für ein illegal angebotenes 
Musikalbum zu zahlen. Über dessen 
freien WLAN-Hotspot soll ein Album 
der Gruppe Wir sind Helden zum kos- 
tenlosen Download angeboten worden 
sein. Der Piraten-Politiker hatte in seinen 
Geschäftsräumen einen offenen Inter- 
netzugang eingerichtet. Seitdem prozes- 
sierte McFadden mit Unterstützung sei- 
ner Partei gegen die Störerhaftung. Das 
Landgericht in München hatte 2014 das 
Verfahren ausgesetzt. Der EuGH soll- 
te klären, warum für Konzerne wie die 
Deutsche Telekom das Providerprivileg 
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gilt, nicht aber für die Anbieter von offe- 
nem WLAN. Beim Providerprivileg geht 
es darum, dass unter anderem Internetan- 
bieter nicht für die Inhalte von Dritten in 
ihren Netzen verantwortlich sind. 

Wer an der Verletzung eines geschütz- 
ten Gutes — etwa des Urheberrechts an ei- 
ner digitalen Datei, aber auch bei Persön- 
lichkeitsverletzungen im Internet — be- 
teiligt ist, ohne selbst Täter zu sein, kann 
dennoch als sogenannter Störer zur Ver- 
antwortung gezogen werden. Immer wie- 
der wegen Urheberrechtsverletzungen im 
Internet abgemahnt oder auf Schadener- 
satz verklagt wurden Betreiber öffentli- 
cher Hotspots, über die urheberrechtlich 
geschützte Dateien getauscht wurden — 
mit oder ohne Wissen des Betreibers. Da 
vielfach nur schwer auszumachen ist, wer 
welche Dateien in Umlauf bringt, wand- 
ten sich die Inhaber der Urheberrechte in 
der Regel an die Hotspot-Betreiber und 
verwiesen auf die zivilrechtlich begrün- 
dete Störerhaftung. 

In Deutschland hatte es im Juni 2016 
eine Änderung des Telemediengesetzes 
(TMG) gegeben, mit dem die Störer- 
haftung abgeschafft und Betreiber von 
WLAN-Hotspots geschützt werden soll- 
ten. Künftig sollen damit private Betrei- 
ber ihr WLAN für andere öffnen können, 
ohne wegen Rechtsverletzungen Dritter 
haftbar gemacht werden zu können. Grü- 
ne und Linke hatten dagegen gestimmt, 
weil sie die Störerhaftung nicht besei- 
tigt sahen und die Entscheidung hierü- 
ber lediglich auf die Gerichte abgewälzt 
würde. Urheberrechtskanzleien hatten 
ankündigt, auch weiterhin Anbieter von 
offenem WLAN abmahnen zu wollen. 
Das deutsche Gesetz sieht vor, dass kei- 
ne weiteren Zugangshürden zum Netz 
verpflichtend sein sollen; das sehen, zu- 
mindest in konkreten Missbrauchsfällen, 
die EuGH-Richter anders. Gemäß der 
EuGH-Entscheidung sollen Betreiber 
angewiesen werden können, den Zugang 
per Passwort zu sichern und dabei die 
Identität der Nutzer zu registrieren. 

Das Urteil des EuGH bringt nun für 
Gewerbetreibe — für private Betreiber ist 
es nicht übertragbar — die eine kostenlo- 
se offene WLAN-Nutzung anbieten, et- 
was mehr Rechtssicherheit. Im Fall von 
McFadden wird nun das Landgericht 
München auf Basis der aktuellen Ent- 
scheidung des EuGH entscheiden. Der 
Kläger McFadden äußerte sich nach der 
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Urteilsverkündung enttäuscht. Das Ur- 
teil sei zwar ein Teilerfolg, bleibe aber 
hinter seinen Erwartungen zurück und 
lasse nicht auf eine schnelle Verbreitung 
von WLAN-Hotspots in Europa hoffen. 
Ein „niederschwelliger Zugang zum In- 
ternet“ sei nicht gegeben, wenn man erst 
um ein „Passwort betteln muss“. 

Der Handelsverband Deutschland 
(HDE) über deren stellvertretenden 
Hauptgeschäftsführer Stephan Tromp 
kritisierte: „EU- und Bundespolitik müs- 
sen schnell für Rechtssicherheit sorgen. 
Ansonsten sind die rechtlichen Risiken 
für Händler, die ihren Kunden freies 
WLAN anbieten wollen, groß.“ Es sei 
unrealistisch, allen KundInnen individu- 
elle Passwörter zur Verfügung zu stellen. 
Der Gesetzgeber müsse zudem Unterlas- 
sungsansprüche gegen WLAN-Anbieter 
eindeutig ausschließen. Ähnlich Markus 
Luthe, Hauptgeschäftsführer des Hotel- 
verbands Deutschland (IHA): Es wer- 
de nun „aller Voraussicht nach bei der 
gewohnten Prozedur bleiben, dass sich 
Hotelgäste zuerst registrieren und sepa- 
rate Nutzungsbedingungen anerkennen 
müssen“. Die Hotellerie habe sich nach 
dem im März vorgelegten Gutachten des 
Generalanwalts „eine praxisgerechtere 
Handhabung des Urheberrechts erhofft“ 
(Gewerbetreibende haften nicht für of- 
fenes WLAN u. Das bedeutet das Urteil 
zur Störerhaftung für Deutschland, www. 
spiegel.de 15.09.2016; EuGH, PM Nr. 
99/16 15.09.2016, Ein Geschäftsinha- 
ber, der der Öffentlichkeit kostenlos ein 
WiFi-Netz zur Verfügung stellt, ist für 
Urheberrechtsverletzungen eines Nutzers 
nicht verantwortlich). 


BVerwG 


Kein Informationszugang 
zu dienstlichen Telefon- 
listen von Jobcentern 


Jobcenter müssen gemäß einem Ur- 
tel des Bundesverwaltungsgerichts 
(BVerwG) vom 20.10.2016 interne Te- 
lefonnummern nicht veröffentlichen, da 
dies die Arbeit in der Behörden behin- 
dern würde (7 C 20.15, 7 C 23.15, 7 C 
27.15, 7 C 28.15). Das Informationsfrei- 
heitsgesetz des Bundes (IFG) gewährt 
jeder BürgerIn „einen Anspruch auf Zu- 
gang zu amtlichen Informationen“, so- 


weit dadurch nicht die öffentliche Sicher- 
heit oder der Datenschutz gefährdet wird 
($ 3 Nr. 2 IFG). Das Gesetz schließt da- 
bei ausdrücklich nicht aus, dass die Be- 
hörden auch Namen, Titel oder Telefon- 
nummern von Mitarbeitern angeben. Vier 
Hartz-IV-Empfänger klagten darauf, die 
Durchwahl zu der BeamtIn oder Sachbe- 
arbeiterIn im Amtszimmer zu erfahren. 
Sie beriefen sich vor Gericht darauf, dass 
die für sie zuständigen Jobcenter in Köln, 
Nürnberg und Berlin die Diensttelefon- 
listen mit den direkten Nummern der 
Mitarbeiter an sie herausgeben. 

Bei den Leipziger Richtern des 
BVerwG hatten sie mit ihrem Vorstoß 
jedoch keine Chance: „Einem Anspruch 
auf Informationszugang zu den dienst- 
lichen Telefonnummern der Bedienste- 
ten von Jobcentern können sowohl die 
Gefährdung der Funktionsfähigkeit der 
Behörde als auch der Schutz der perso- 
nenbezogenen Daten der Mitarbeiterin- 
nen und Mitarbeiter entgegenstehen“. 
Eine Veröffentlichung der Telefonnum- 
mern sei nur möglich, wenn „das Infor- 
mationsinteresse des Antragstellers das 
schutzwürdige Interesse des Dritten am 
Ausschluss des Informationszugangs 
überwiegt“. Dies sei aber nicht der Fall, 
da die Daten unter das „Schutzrecht des 
Grundrechts auf informationelle Selbst- 
bestimmung“ fielen ($ 5 Abs. 1 S. 1 
IFG). Das BVerwG erklärte, dass zum 
Schutzgut der öffentlichen Sicherheit 
u. a. Individualrechtsgüter wie Gesund- 
heit und Eigentum sowie die Funkti- 
onsfähigkeit und die effektive Aufga- 
benerledigung staatlicher Einrichtungen 
gehören. Deren Gefährdung liege vor, 
wenn aufgrund einer auf konkreten 
Tatsachen beruhenden prognostischen 
Bewertung mit hinreichender Wahr- 
scheinlichkeit zu erwarten sei, dass das 
Bekanntwerden der Information das 
Schutzgut beeinträchtigt. Von diesem 
rechtlichen Ausgangspunkt aus hatten 
das Oberverwaltungsgerichtt (OVG) 
Münster und der Verwaltungsgerichts- 
hof München jeweils Tatsachen festge- 
stellt, die zu einer solchen Gefährdung 
führen. Sie bestehe namentlich in nach- 
teiligen Auswirkungen auf die effiziente 
und zügige Aufgabenerfüllung der Job- 
center, die infolge von direkten Anrufen 
bei den Bediensteten eintreten können. 
Das OVG Münster hatte als Vorinstanz 
entschieden, dass die Weitergabe von 
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Informationen die Funktionsfähigkeit 
einer Massenverwaltung wie in einem 
Jobcenter gefährden würde, wenn viele 
Leistungsempfänger anrufen, „zu denen 
mitunter auch Personen mit querulatori- 
scher Neigung zählen“. 

Mit dem Grundsatzurteil geht ein jah- 
relanger Rechtsstreit zu Ende, der für die 
Bundesagentur für Arbeit (BA) erhebli- 
che Bedeutung hat. Die BA verwaltet mit 
den Kommunen mehr als 300 Jobcenter. 
Bei den meisten können die Hartz-IV- 
EmpfängerInnen ihre BetreuerIn nicht 
direkt anrufen. Telefonische Anfragen 
werden über eine einheitliche Hotline 
und verschiedene Callcenter gebündelt. 
Die Vermittler sollen so ungestört ihre 
Akten abarbeiten oder mit den Jobsu- 
chenden an vorher vereinbarten Termi- 
nen sprechen können. 

Die Kläger und ihre Vertreter reagierten 
enttäuscht auf das Urteil: Rechtsanwältin 
Kristina Sosa Norena meinte, die Richter 
hätten „die große Chance vergeben, die 
Jobcenter transparenter für die Bürger zu 
gestalten“. Sven F., einer der Kläger und 
Vorsitzender der Erwerbsloseninitiative 
Braunschweig, bedauerte, dass weiter 
kein direkter Kontakt mit den Mitarbei- 
tern des Jobcenters möglich sei: „Die 
eingerichteten Servicenummern werden 
nun weiter zu einer Vielzahl von Miss- 
verständnissen führen, die nicht selten in 
unnötigen Klagen enden“ (Öchsner, Kein 
Recht auf Durchwahl, SZ 21.10.2016, 
22; Informationszugang zu dienstlichen 
Telefonlisten von Jobcentern: Revisionen 
erfolglos, PE BVerwG 20.10.2016). 


OVG Rheinland-Pfalz 


Racial Profiling: 
Ermessensfehlgebrauch 
durch Bundespolizei 


Das Oberverwaltungsgericht (OVG) 
Rheinland-Pfalz in Koblenz stellte mit 
Urteil vom 21.04.2016 mal wieder fest, 
dass die Bundespolizei (BPol) bei ihrer 
Kontrollpraxis in Zügen rechtswidrig 
agierte (7 A 11108/14). Das OVG mein- 
te aber nicht, dass die zugrundeliegende 
Regelung diskriminierend und deshalb 
rechtswidrig sei, sondern, dass hier er- 
messensfehlerhaft vorgegangen wurde. 

Dem Urteil lag folgender Sachver- 
halt zugrunde: Ein deutsches Ehepaar 
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mit schwarzer Hautfarbe und ihre zwei 
Kinder saßen in der Regionalbahn von 
Mainz nach Koblenz. Sie wurden zielge- 
richtet von zwei Bundespolizisten ange- 
sprochen und wegen einer angeblichen 
Routinekontrolle zur Vorlage von deren 
Ausweisen aufgefordert. Nach Vorlage 
der Bundespersonalausweise überprüften 
sie über Funk, ob diese gestohlen oder 
gefälscht sind. Davor und danach fand 
keine weitere Überprüfung anderer Per- 
sonen statt. Nach der Kontrolle stellen 
sich die Polizisten an die Tür und stiegen 
an der übernächsten Station aus. Vor Ge- 
richt erklärt die BPol, dass aufgrund ihrer 
Lageerkenntnisse diese Regionalbahn 
häufig für die Fortsetzung unerlaubter 
Einreisen benutzt werde. Als Grund für 
die Kontrolle ausschließlich dieser Fa- 
milie erklärten die Polizisten, die Eltern 
seien gut gekleidet gewesen und hätten 
mehrere Plastiktüten mit sich geführt. 
Beides seien Indizien für illegale Grenz- 
übertritte. Mit der Hautfarbe der Perso- 
nen habe die Kontrolle überhaupt nichts 
zu tun gehabt. Die Behauptung, dass 
mehrere Plastiktüten mitgeführt wurden, 
erwies sich im Rahmen der Beweiserhe- 
bung als falsch. Im Bahnwagon befanden 
sich (weiße) Personen, die sich über das 
Vorgehen erregten und sich als Zeugen 
zur Verfügung stellten. 

Anders als das Verwaltungsgericht 
Stuttgart (DANA 2015, 193) und das 
Amtsgericht Kehl (Vorlagebeschluss an 
den EuGH) hielt das OVG die Vorschrif- 
ten des Bundespolizeigesetzes (BPolG) 
für hinreichend bestimmt und nicht 
europarechtswidrig. Das OVG meinte 
auch, in solchen Verfahren gäbe es keine 
Beweislastumkehr aus Art. 3 GG. Viel- 
mehr müsse der kontrollierte Mensch 
beweisen, dass hier Racial Profiling 
vorgekommen ist. Angesichts der nähe- 
ren Umstände und nach umfangreicher 
Beweisaufnahme meinte das Gericht al- 
lerdings, dass die Hautfarbe zumindest 
mitentscheidendes Kriterium für die 
Kontrolle war. Bei dieser Sachlage (nicht 
nachvollziehbare Auswahlentscheidung) 
gab es dann aber doch noch eine „kleine 
Beweislastumkehr“ wegen der fehlenden 
„Überzeugung des Senats“. Im Urteil fin- 
den sich für das Urteilsergebnis nicht re- 
levante, aber interessante Ausführungen 
zum Schengener-Grenzkodex, der hier 
nicht verletzt gewesen sein soll. 

Eine (unvollständige) Übersicht über 


anlasslose Kontrollen der Bundespolizei 
und dazu ergangene Gerichtsentschei- 
dungen findet sich in der Antwort der 
Bundesregierung auf eine Kleine Anfra- 
ge der Fraktion Die Linke im Bundestag. 
Danach wurden von der BPol 2015 fast 
drei Mio. anlasslose Personenkontrol- 
len durchgeführt. Von den insgesamt 
2.953.844 wurden mehr als 2,6 Mio. im 
Grenzgebiet durchgeführt, etwas mehr 
als 248.000 im Inland und rund 69.000 
an Flughäfen. Die Linken-Politikerin 
Ulla Jelpke bemängelte, die Kontrollbe- 
fugnisse der BPol „geradezu eine Einla- 
dung“, bei anlasslosen Personenkontrol- 
len nach äußerlichen Merkmalen vor- 
zugehen: „Die Bundesregierung deckt 
diese Praxis, weil sie sich strikt weigert, 
unmissverständlich klarzustellen, dass 
die Hautfarbe unter keinen Umständen 
ein Kriterium für eine Personenkontrol- 
le sein darf. Im Endeffekt werden damit 
rassistische Kontrollen — racial profiling 
— geradezu provoziert.“ In der Antwort 
des Bundesinnenministeriums heißt es 
hierzu: „Es kann — und das gilt in allen 
Situationen und für alle Formen des po- 
lizeilichen Handelns — auch das äußere 
Erscheinungsbild einer Person, z. B. die 
Kleidung, das mitgeführte Gepäck sowie 
weitere äußere Erscheinungsmerkmale, 
ein Anknüpfungspunkt an polizeiliche 
Erkenntnisse und daraus folgende poli- 
zeiliche Maßnahmen sein.“ Fahndungs- 
methoden, die aber „nur und ausschließ- 
lich an die äußere Erscheinung von Per- 
sonen anknüpfen, ohne dass weitere ver- 
dichtende Erkenntnisse hinzukommen, 
sind rechtswidrig und werden daher in- 
nerhalb der Bundespolizei weder gelehrt 
oder vorgegeben noch praktiziert“ (Raci- 
al Profiling: Nur Ermessensfehlgebrauch 
durch DBundespolizei?, ANA-ZAR 
3/2016, 28; Bundespolizei führte 2015 
drei Millionen „anlasslose Personenkon- 
trollen“ aus, de.nachrichten.yahoo.com 
09.04.2016). 


OLG München 


Facebook-Reproduktion 
von Foto in Bildzeitung 
unnötig und deshalb un- 
zulässig 


Mit Beschluss vom 17.03.2016 stellte 
das Oberlandesgericht (OLG) München 
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fest, dass die Veröffentlichung eines aus 
Facebook entnommenen Fotos einer 
Verfasserin eines flüchtlingsfeindlichen 
Facebook-Kommentars durch „Bild“ 
und „Bild online“ auf einem „Pranger 
der Schande“ rechtswidrig war (29 U 
368/16). Die Vorinstanz des Landesge- 
richts (LG) München I hatte die Veröf- 
fentlichung für zulässig angesehen. 

Mit dem „Pranger der Schande“ lie- 
ferte „Bild“ einen gewohnt polternden 
Beitrag zur Debatte um Facebook- 
Hasskommentare auf Facebook, indem 
es rund zwei Dutzend Facebook-Kom- 
mentare mit mindestens polemischem, 
meist offen fremdenfeindlichem Ton zur 
Flüchtlingskrise abdruckte einschließlich 
Namen und Profilbildern der Kommen- 
tatoren sowie der Aufforderung „Herr 
Staatsanwalt, übernehmen Sie!“ 

Eine der angeprangerten Kommen- 
tatorinnen beantragte den Erlass einer 
einstweiligen Verfügung gegen die Ab- 
bildung ihres Profilfotos (nicht: ihres 
Namens oder Kommentars), unterlag je- 
doch vor dem LG. Sie hatte 2015 auf Fa- 
cebook geschrieben: „Wie die Tiere und 
noch schlimmer, alles rennt zum gutge- 
füllten Futternapf, mal sehen wo Sie hin 
rennen, wenn unser Napf leer gefressen 
ist 772° Das LG meinte, die Veröffentli- 
chung ihres Profilfotos neben dem Kom- 
mentar verletze sie weder in ihrem Per- 
sönlichkeitsrecht noch — als Fotografin 
des Profilbildes - in ihrem Urheberrecht. 
Da die Nutzerin ihr Profilbild ohne Ein- 
schränkungen bei Facebook eingestellt 
habe, sei die weitere Verbreitung durch 
andere Medien im Internet nach der 
Rechtsprechung des EuGH schon kei- 
ne weitere öffentliche Wiedergabe. Die 
Schranke des $ 48 Urheberrechtsgesetz 
(UrhG) für die Wiedergabe öffentlicher 
Reden durch Medien sei auf die Verbrei- 
tung von Facebook-Posts samt Profilbild 
analog anzuwenden. Ferner sei die Ver- 
öffentlichung des Screenshots sowohl 
vom Zitatrecht nach $ 51 UrhG als auch 
von der Schranke für Tagesereignisse 
nach $ 50 UrhG gedeckt. 

Damit entsprach das LG auch der herr- 
schenden veröffentlichten Meinung von 
JuristInnen, die darauf abstellte, dass die 
Beiträge in einer für jeden Facebook- 
Nutzenden einsehbaren Form abgegeben 
worden waren und die Kommentatoren 
durch ihren Abdruck auch nicht in ih- 
rer Privat- oder gar Intimsphäre berührt 
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wurden. Auch der Bezug zur aktuellen 
gesellschaftlichen Debatte streite im 
Rahmen der Abwägung nach $ 23 Kunst- 
urhebergesetz (KUG) für ein Veröffentli- 
chungsrecht der Medien. 

Das OLG vertrat jedoch eine andere 
Auffassung. Es verzichtete in der münd- 
lichen Verhandlung auf eine Auseinan- 
dersetzung mit deren urheberrechtli- 
chen Begründungen und argumentierte 
allein mit dem Persönlichkeitsrecht der 
Frau, das verletzt worden sei: Zwar sei 
ein klarer zeitgeschichtlicher Bezug 
der Berichterstattung gegeben. Aller- 
dings hätte die Zeitung das Foto der 
Frau ebenso gut weglassen bzw. in ver- 
pixelter Form zeigen können. Die un- 
verpixelte Darstellung schaffe keinerlei 
Mehrwert für die Leser, stelle aber ei- 
nen intensiveren Eingriff in die Rechte 
der Betroffenen dar. Die Veröffentli- 
chung von Fotos im Internet beinhalte 
nicht automatisch ein Einverständnis in 
jedwede weitere Verbreitung. 

Der Bild vertretende Anwalt Ulrich 
Amelung kritisierte die OLG-Entschei- 
dung: „Es ist ein eherner Grundsatz des 
Presserechts, dass die Entscheidung dar- 
über, welchen Mehrwert ein Bild liefert, 
allein dem Medium überlassen bleibt.“ 
Die Frage danach, ob der Artikel ohne 
das Foto genauso aussagekräftig gewe- 
sen wäre wie mit, hätte das Gericht nicht 
in die Abwägung nach $ 23 KUG einflie- 
Ben lassen dürfen. „Irritierenderweise hat 
hier ausgerechnet der für Urheberrecht 
zuständige Senat des OLG entschieden, 
aber das mit einer rein presserechtlichen 
Begründung, die so nicht haltbar ist.“ Da 
Rechtsmittel gegen die Entscheidung 
im einstweiligen Rechtsschutzverfahren 
nicht statthaft sind, werde man nun das 
Hauptsacheverfahren anstreben (Baron 
van Lijnden, „Pranger der Schande‘ doch 
rechtswidrig, www.lto.de 21.03.2016; 
Wurzberger, Facebook-Foto in „Bild“ 
rechtswidrig, CuA 9/2016, 25). 


LG Köln 


BMW-Hersteller-Daten bei 
Straßenverkehrsunfall- 
Urteil hinzugezogen 


Nach einem tödlichen Unfall mit ei- 
nem BMW des Car-Sharing-Anbieters 
Drive Now wurde der 27jährige Fahrer, 


ein BWL-Student, vom Landgericht 
(LG) Köln am 23.05.2016 zu einer Haft- 
strafe von 33 Monaten verurteilt (113 
KLs 34/15). Im Prozess spielten Daten 
aus dem Fahrzeug eine wichtige Rolle. 
BMW hatte detaillierte Daten der Un- 
fallfahrt vorgelegt. Der 27-Jährige hatte 
im Sommer 2015 den Unfall mit einem 
anderen Fahrzeug verursacht, bei dem 
ein an der Ampel wartender 26-jähriger 
Fahrradfahrer getötet wurde. Anhand 
der von BMW zur Verfügung gestellten 
Daten konnte dem Fahrer nachgewie- 
sen werden, dass er bis zum Unfall im 
Stadtgebiet mit stark überhöhter Ge- 
schwindigkeit — stellenweise über 100 
km/h — unterwegs war. Das LG-Urteil 
befasste sich nicht mit der Frage, ob die 
Datenerhebung, die der Sachverständige 
zu Grunde legte, rechtmäßig war. Selbst 
bei einer Unzulässigkeit wäre aber nach 
etablierter Rechtsprechung im vorliegen- 
den Fall kein Beweisverwertungsverbot 
anzunehmen gewesen. 

Drive Now, eine Tochtergesellschaft 
von BMW und Sixt, erklärte dazu, dass 
das Unternehmen keine Fahrprofile von 
Kunden anlege. Zu Abrechnungszwe- 
cken erfasse das Unternehmen nur Start 
und Ziel sowie die Dauer der Fahrt: 
„Diese Daten benötigen wir für die 
Rechnungserstellung und speichern sie 
im Rahmen der gesetzlichen Aufbewah- 
rungsvorschriften‘“. Das steht so auch in 
den AGB des Anbieters, die Nutzer des 
Dienstes zur Kenntnis nehmen müssen. 

Tatsächlich stammen die vor Gericht 
ausgewerteten Daten direkt vom Fahr- 
zeughersteller. BMW betonte, dass in 
normalen BMWs diese Daten nicht ge- 
speichert werden: „Die BMW Group er- 
hebt und speichert keine Bewegungspro- 
file ihrer Kunden“. Es handele sich um 
besondere Module, die ausschließlich in 
den Car-Sharing-Modellen des Herstel- 
lers eingebaut seien. Das Car-Sharing- 
Modul (CSM) speichere während der 
Fahrt bestimmte Daten zum Fahrzeugzu- 
stand und -betrieb. 

Diese Daten werden, so eine BMW- 
Sprecherin, „ausschließlich von der 
BMW Group und nur im Einzelfall zu 
konkreten Supportzwecken bei Kun- 
denrückfragen, Beschwerden oder tech- 
nischen Problemen abgerufen“. Die 
Daten für das Verfahren in Köln seien 
„nach behördlicher Aufforderung“ aus 
dem CSM abgerufen und aufgrund einer 
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staatsanwaltlichen und gerichtlichen An- 
forderung an das LG Köln herausgege- 
ben worden. Es bestehe keine Verknüp- 
fung mit den Vertragsdaten des Kunden 
des Car-Sharing-Anbieters, diese sei erst 
vor Gericht erfolgt (Briegleb, Car-Sha- 
ring-Unfall: Aufregung um angebliche 
Datenprofile in BMWs, www.heise.de 
22.07.2016). 


AG Bad Hersfeld 


Vater muss bei Kindern 
Messengerdienst 
entfernen 


Gemäß einem Beschluss des Amts- 
gerichts (AG) Bad Hersfeld vom 
22.07.2016 muss ein Vater, nachdem 
ihm bekannt wurde, dass seine minder- 
jährigen Töchter über einen längeren 
Zeitraum Opfer von Messenger-Kom- 
munikation mit sexualisierten Inhalten 
(„Sex-Texting“ oder „Sexting“) waren, 
dies künftig zu verhindern suchen und 
hierfür u. a. WhatsApp und vergleich- 
bare Programme von den Smartphones 
der Töchter zu entfernen (Az.: F 361/16 
EASO). Zudem wurde er verpflichtet, 
mit den Minderjährigen monatlich ein 
Gespräch über die Nutzung zu führen 
und die Smartphones alle drei Monate 
zu prüfen, welche Apps darauf installiert 
sind und ob es darauf Ungereimtheiten 
gibt. 

Die Eltern der 2000 und 2005 gebo- 
renen Mädchen hatten sich im Jahre 
2006 getrennt und sind geschieden. Die 
Kinder blieben nach der Trennung zu- 
nächst im Haushalt der Kindesmutter, 
zogen aber später zu ihrem Vater. Beide 
besaßen Smartphones, auf denen neben 
anderen Programmen auch jeweils die 
Messenger-App WhatsApp installiert 
war. Im Mai 2016 erstattete die ältere 
Tochter Anzeige wegen des Verdachts 
der sexuellen Belästigung gegen einen 
ehemaligen Schulfreund ihres Vaters. 
Die Kindesmutter beantragte, dass die 
elterliche Sorge für beide Töchter auf sie 
übertragen wird. Diesen Antrag zog sie 
später zurück. Doch erteilte das Gericht 
dem Vater die Auflagen nach $ 1666 
Bürgerliches Gesetzbuch (BGB). Die- 
ser regelt gerichtliche Maßnahmen bei 
Gefährdung des Kindeswohls. Nach An- 
sicht des Gerichts sind diese notwendig, 
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um eine früher aufgetretene und weiter- 
hin gegebene Gefahr abzuwehren. 

Das Gericht stellte fest, dass die über 
zwölf Monate andauernde, vehemente 
und ausdauernde Kommunikation über 
WhatsApp die Schwestern stark ergrif- 
fen und ihr Wohlbefinden sichtlich ne- 
gativ beeinträchtigt hat. WhatsApp stel- 
le für Kinder und Jugendliche unter 16 
Jahren „grundsätzlich eine Gefahr für 
ihre Privatsphäre und ihre Entwicklung 
dar“. Dies gelte zumindest dann, wenn 
die Kinder vor jener Nutzung nicht ei- 
nen „ausgeprägten verantwortungsvol- 
len Umgang mit den Funktionen und 
den Risiken aufgezeigt bekommen ha- 
ben und wenn sie nicht bereits eine be- 
sondere geistige Reife und vorausschau- 
ende Sicht im Hinblick auf die Nutzung 
aufweisen“. 

Das Gericht wies darauf hin, dass 
„Smart-Geräte aufgrund ihrer vielfäl- 
tigen technischen Möglichkeiten und 
ihrer vernetzten Anbindung nicht als 
einfaches elektronisches Spielzeug an- 
gesehen werden können, welches den 
Kindern schlicht und ohne jegliche 
Überwachung ausgehändigt werden 
könnte“. Besonnene vernünftige Eltern, 
die ihren Kindern solche Geräte über- 
lassen, müssten laufend sicherzustel- 
len, dass diese sich mit den möglichen 
Risiken und Gefahren an dem Gerät 
auskennen und darauf jeweils adäquat 
reagieren können. Zusätzlich biete sich 
insbesondere bei der jüngeren Tochter 
eine digitale Kindersicherung an. Der 
Vater muss gegenüber dem Familien- 
gericht nachweisen, dass er den Aufla- 
gen nachgekommen ist (Heidrich, Vater 
muss WhatsApp von den Mobilgeräten 
seiner Kinder entfernen, www.heise.de 
11.08.2016). 


AG Hannover 


Retortenbabys haben 
Anspruch auf Namen von 
Samenspender 


Gemäß einem Urteil des Amtsgerichts 
(AG) Hannover vom 17.10.2016 darf 
eine Reproduktionsklinik einer Frau, 
die wissen möchte, wer ihr Erzeuger ist, 
den Namen nicht länger verheimlichen 
(432 C 7640/15). Die 21-Jährige war als 
Retortenbaby zur Welt gekommen und 


hatte die Klinik darauf verklagt, ihr den 
Namen des Mannes zu nennen, mit des- 
sen Samenspende sie einst gezeugt wor- 
den war. Ihre Mutter hatte sich künstlich 
befruchten lassen, da ihr Ehemann zeu- 
gungsunfähig war. Auf Anfrage hatte 
sich die Klinik zunächst geweigert, den 
Namen des Samenspenders zu nennen, 
obwohl die Rechtsprechung in dieser 
Frage inzwischen eindeutig ist. Be- 
reits 2015 hatte der Bundesgerichtshof 
(BGH) geurteilt, dass Kinder ein Recht 
darauf haben, den Namen ihres biologi- 
schen Vaters zu erfahren. In der Praxis 
verweigern jedoch immer noch viele 


Kliniken die Auskunft. 
Der Klinik-Anwalt begründete die 
Verweigerungshaltung: „Der Samen- 


spender war davon ausgegangen, dass 
sein Name geheim gehalten wird.“ Soll- 
te er nach dem Verlust seiner Anonymi- 
tät Schadensersatzansprüche gegenüber 
der Klinik stellen, z. B. weil seine bio- 
logische Tochter Unterhalts- und Erb- 
ansprüche geltend macht, brauche man 
Rechtssicherheit. Die Furcht vor Unter- 
haltsansprüchen ist aber nach Ansicht 
des Vereins Spenderkinder unbegründet: 
„Keinem uns bekannten Spenderkind 
geht es um finanzielle Forderungen ge- 
genüber dem Spender.“ Der Verein for- 
dert sogar eine rechtliche Klärung, dass 
Erbansprüche und Unterhaltsforderun- 
gen ausgeschlossen sind. Jeder Mensch 
habe jedoch ein Recht, seine genetische 
Herkunft zu erfahren. 

Dem BGH zufolge können Informa- 
tionen über den biologischen Vater „für 
die Entfaltung der Persönlichkeit von 
elementarer Bedeutung sein“. Für den 
Samenspender müsse die Auskunft zwar 
zumutbar sein. „Nicht maßgeblich“ sei- 
en dabei aber „seine wirtschaftlichen 
Interessen“. Im Bundesgesundheitsmi- 
nisterium wird an den institutionellen 
und organisatorischen Voraussetzungen 
gearbeitet, damit jedes Kind sein Recht 
auf Herkunftskenntnis umsetzen kann. 
Dazu soll ein zentrales Spenderregister 
eingeführt werden (Der Name zum Sa- 
men, SZ 18.10.2016, 10). 
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slffeslel-tJeig-Teialölate[-1n 


EU-Datenschutz- 
Grundverordnung 


Wedde, Peter 
EU-Datenschutz-Grundverordnung 
Kurzkommentar mit Synopse BDSG/ 
EU-DSGVO 

Bund-Verlag Frankfurt/Main 2016, 346 
S., ISBN 978-3-7663-6589-7, 39.90 € 


(tw) Viele der nach Bekanntwerden der 
DSGVO erfolgten kurzfristigen Veröf- 
fentlichungen verfolgen noch nicht das 
Ziel und haben auch nicht den Anspruch, 
inhaltlich in die Tiefe zu gehen. Vielmehr 
zielen sie darauf ab, einen Überblick zu 
verschaffen und eine erste Orientierung 
über das zu vermitteln, was sich ändert, 
was gleich bleibt und welche nächsten 
Schritte unternommen werden müssen. 

Zu dieser Kategorie gehört auch die 
Dokumentation von Peter Wedde. Des- 
sen Zielgruppe ist nicht der Gesetzgeber 
(so Kühling/Martini u.a., DANA 3/2016, 
159; Roßnagel, s. u.), auch nicht der Un- 
ternehmensjurist (so Laue/Nink/Kremer, 
Härting, DANA 3/2016, 158 f£.), sondern 
der allgemein Interessierte bzw. ange- 
sichts des üblichen Publikums des Bund- 
Verlags die Arbeitnehmerseite. Das Buch 
teilt sich in 4 Teile: einen allgemeinen 
Überblick, den Abdruck der Erwägungs- 
gründe, den Abdruck der DSGVO mit 
Verweisen zu den Erwägungsgründen so- 
wie eine Synopse, in der auf Grundlage 
des bisherigen BDSG Verweise zur DS- 
GVO vorgenommen werden. 

Die Sammlung von Wedde erfüllt da- 
mit die Funktion eines Referenzsystems, 
mit dem bei der Suche nach den neuen 
gültigen Regeln vom BDSG über die 
DSGVO bis hin zu den Erwägungsgrün- 
den die offiziellen Informationen gut und 
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leicht erschlossen sind. Insofern ist das 
handliche Werk äußerst hilfreich. Für die 
Beantwortung offener oder streitiger Fra- 
gen liefert sie keine eigenen Positionen. 


Albrecht | Jotzo 


Albrecht, Jan Philipp/Jotzo, Florian 
Das neue Datenschutzrecht der EU 
Nomos-Verlag Baden-Baden, 2016, 
ISBN 978-3-8487-2804-6, 339 S., 48,00 € 


(tw) Mit der Veröffentlichung des end- 
gültigen Textes der Europäischen Da- 
tenschutz-Grundverordnung (DSGVO) 
wurde ein Rennen von Verlagen und Wis- 
senschaftlern ausgelöst, wer als erster mit 
seiner Publikation und Meinung hierzu 
auf dem Markt ist. Manches, was dabei 
publiziert wurde, wird nicht von längerer 
Gültigkeit sein. Nicht zu den allerersten, 
dafür aber garantiert zu den längerlebi- 
gen Publikationen gehört das Buch von 
Albrecht/Jotzo, weil es Einsichten über 
die Hintergründe und den Entstehungs- 
prozess des neuen EU-Datenschutzrechts 
gewährt, was andere Schriften nicht vor- 
weisen können. Dies erklärt sich damit, 
dass einer der Autoren, Jan Philipp Alb- 
recht, persönlich nicht nur an der Entste- 
hung dieses Rechts beteiligt war, sondern 
als Berichterstatter des Europäischen 
Parlaments für die DSGVO, gemeinsam 
mit der EU-Kommissarin Vivian Reding, 
wohl den wichtigsten Part überhaupt im 
Gesetzgebungsverfahren spielte. 

Das Werk bezieht sich auf das gesam- 
te neue EU-Datenschutzrecht, doch liegt 
dessen Schwergewicht eindeutig bei der 
DSGVO. Es beschreibt auf über 100 Sei- 
ten gedrängt die Geschichte der Gesetz- 
gebung, die rechtlichen und politischen 


Erwägungen von Kommission, Parla- 
ment und Rat und, wer sich mit was, wie 
und weshalb am Ende beim Trilog durch- 
gesetzt hat. Dabei wird mit der kenntnis- 
reichen Innenansicht auch in Bezug auf 
die vielen beantworteten und auch un- 
beantworteten rechtlichen Einzelfragen 
dargelegt, welche nationalen und ökono- 
mischen Hintergründe eine Rolle spiel- 
ten. Es wird erkennbar, dass die DSGVO, 
so wie sie nun in Kraft getreten ist, ohne 
die Enthüllungen von Edward Snowden 
— sowohl im Hinblick auf den Inhalt wie 
auch auf den Einigungszwang - nicht zu- 
stande gekommen wäre. 

Albrecht hat sich während des Gesetz- 
gebungsverfahrens als sehr engagierter 
Vertreter eines stark grundrechtsorien- 
tierten Datenschutzes profiliert. Diese Li- 
nie behält das Buch bei, jedoch mit einer 
hinsichtlich der beschriebenen Normen 
und deren Genese erfrischenden Objek- 
tivität. Es beschreibt, wie europäisches 
Recht generell auszulegen ist und wie die 
DSGVO im Konflikt zwischen Harmo- 
nisierung und nationalen Rechtskulturen 
unter Wahrung von Subsidiarität und Ver- 
hältnismäßigkeit einzuordnen ist. Zwei- 
fellos lässt sich aus Datenschutzsicht be- 
klagen, dass viele Öffnungsklauseln der 
DSGVO für einen einheitlichen Daten- 
schutz nicht förderlich sind. Es wird aber 
nachvollziehbar dargelegt, dass mehr an 
einheitlichem Datenschutz nicht möglich 
war. Damit zeichnet sich ab, anders als 
dies noch bei der Richtlinie Anfang der 
90er Jahre war, dass mit der DSGVO ein 
realer Fortschritt für den digitalen Grund- 
rechtsschutz — nicht nur in der EU - er- 
reicht wird. Albrecht/Jotzo lassen erken- 
nen, dass dem Text der DSGVO keine 
billigen Kompromisse zugrunde liegen, 
sondern dass dieser nach langer Refle- 
xion und kontroverser Diskussion einer 
hohen Rationalität verpflichtet ist. 

Wer nun zu allen brennenden Fragen 
zur DSGVO von dem Buch eine Ant- 
wort erwartet, der muss enttäuscht wer- 
den. Dies kann ein derart konzentriertes 
frühes Werk nicht leisten. Wohl aber 
gibt es viele Hinweise beim Austragen 
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künftiger Auslegungskontroversen. So 
ist aufschlussreich, dass dem Gesetzge- 
ber bewusst war, dass die als Betroffe- 
nenrecht ausgestaltete Regelung zu Big 
Data und Profiling in Art. 20 eine Not- 
lösung bleiben musste, mit der künftige 
Präzisierungen nicht verhindert, sondern 
gefördert werden sollte. Ähnliches gilt 
für die weiten normöffnenden Ausnah- 
mekataloge zu den Betroffenenrechten 
in Art. 23, die Regelung zum Beschäf- 
tigtendatenschutz (Art. 88) oder die zum 
Verhältnis zur Meinungs- und Informa- 
tionsfreiheit (Art. 85). Aufschlussreich 
ist auch, dass bei der Ausgestaltung der 
Sanktionen offenbar das Kartellrecht 
Pate stand — eine Absage an die bis- 
herige deutsche Sanktionenpraxis, die 
sich eher an Verstößen gegen die Stra- 
Benverkehrsordnung orientiert. Span- 
nend sind weiterhin die Erwägungen zu 
den Zusammenarbeitsregelungen der 
Aufsichtsbehörde, mit denen Neuland 
betreten wurde. Bewähren sie sich, so 
können sie Vorbild für die europäische 
administrative Kooperation in anderen 
Bereichen werden. 

Als Rechtsquelle gut geeignet und 
leicht zu handhaben ist die abgedruckte 
Synopse mit dem Text der DSGVO und 
der Europäischen Datenschutzrichtli- 
nie sowie den aktuell dazu gehörenden 
Erwägungsgründen, über die sich nicht 
nur die europäische Rechtsentwicklung, 
sondern auch die Normkonkretisierung 
nachvollziehen lässt, zumal Erwägungs- 
gründe im europäischen Recht einen 
höheren Verbindlichkeitsgrad haben als 
etwa im nationalen Recht Gesetzesbe- 
gründungen. Der Quellencharakter des 
Werks wird dadurch verstärkt, dass die 
Positionen von Kommission, Rat und 
Parlament in der Vorphase der Gesetz- 
gebung über das „Gesamtkonzept für 
den Datenschutz“ abgedruckt sind und 
in den Fußnoten Bezüge zu vielen wei- 
teren europäischen Vorgängen herge- 
stellt werden. Das Stichwortverzeichnis 
und ein aktuelles, selektives Literatur- 
verzeichnis erschließt Textpassagen in 
dem Buch und zu in den verweisenden 
Fußnoten aufgeführten weiterführenden 
Texten. 

Das Werk ist angesichts des Umstands, 
dass die historische Auslegung beim EU- 
Recht ebenso wie generell von hoher Be- 
deutung ist, bei der Beantwortung vieler 
offenen Fragen zur DSGVO für Wissen- 
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schaft wie für die Praxis unersetzlich. Es 
ist aber in seiner Kürze und Prägnanz 
auch für interessierte Datenschützer und 
Juristen ein geeigneter Einstieg in das 
EU-Datenschutzrecht. Durch seine klare, 
einfach zu verstehende und dennoch die 
Komplexität der Sachverhalte darstellen- 
de Sprache ist es nicht nur den Juristen, 
sondern auch Vertretern anderer Diszipli- 
nen zugänglich. Wer es nicht schon wuss- 
te, erkennt spätestens nach der Lektüre 
des Buchs: Mit dem Inkrafttreten der DS- 
GVO fängt die Arbeit für alle Beteiligten 
— nationale wie europäische Gesetzgeber, 
Aufsichtsbehörden, generell Datenschüt- 
zer, Wissenschaft, Unternehmen und Be- 
hörden — erst richtig an; das Buch ist für 
diese Arbeit äußerst nützlich. 


Roßnagel (Hng] 


Roßnagel, Alexander (Hrsg.) 
Europäische Datenschutz-Grundver- 
ordnung 

Vorrang des Unionsrechts — Anwendbar- 
keit des nationalen Rechts 

Nomos Baden-Baden 2017, ISBN 978-3- 
8487-3074-2, 342 S., 48,00 € 


(tw) Ähnlich wie die Arbeit von 
Kühling/Martini u. a. (DANA 3/2016, 
159) nimmt sich die von Roßnagel he- 
rausgegebene Kollektivarbeit der — die 
Gesetzgeber und die Wissenschaft in- 
teressierende — Schnittstelle zwischen 
deutschem und europäischem Daten- 
schutzrecht an: Welche Vorschriften des 
deutschen Datenschutzrechts werden 
von der Datenschutz-Grundverordnung 
(DSGVO) verdrängt und welche bleiben 
auch nach der direkten Anwendbarkeit 
des DSGVO vom 25.05.2018 an an- 
wendbar. Dabei behandelt sie zunächst 
die grundsätzliche Frage des Verhältnis- 
ses von nationalem und europäischem 
Recht. Danach widmet sie sich der 
Frage, inwieweit konkret der DSGVO 
Vorrang einzuräumen ist und welche 
Spielräume dem nationalen Gesetzgeber 


bleiben, wobei dies zum einen gemäß 
der Struktur des DSGVO und dann be- 
zogen auf einzelne Bereiche der Daten- 
verarbeitung abgehandelt wird. Bei der 
Behandlung der einzelnen Artikel der 
DSGVO verharren die AutorInnen nicht 
bei der Frage des Anwendungsvorrangs, 
sondern steigen in die zentralen materi- 
ell-rechtlichen Fragen ein. 

Die allgemeine einführende Darstel- 
lung kommt zu dem Ergebnis, dass die 
Ansprüche der DSGVO, nämlich das 
Recht zu vereinheitlichen, die Praxis 
anzugleichen und das Recht zu moder- 
nisieren, nicht oder nur begrenzt erreicht 
werden. Die Rechtsprechung des Bun- 
desverfassungsgerichts mit seiner Aus- 
differenzierung des Datenschutzes wird 
sodann mit der Europäischen Grundrech- 
te-Charta, der Rechtsprechung des EuGH 
und den DSGVO-Regelungen abgegli- 
chen. Dabei erweist sich eine weitgehen- 
de Kongruenz und dass, entgegen man- 
cher Befürchtung, die bisherigen Rechts- 
schutzmöglichkeiten sich ändern, aber 
im Wesentlichen nicht verloren gehen. 
Die Einführung des Marktortprinzips 
wird als eine wichtige Errungenschaft 
der DSGVO hervorgehoben. In Bezug 
auf die Erlaubnistatbestände wird regis- 
triert, dass diese sehr allgemeiner Natur 
sind und durch Öffnungsklauseln — aber 
nur in bestimmten Bereichen — nationa- 
len Gestaltungsspielraum lassen. Positiv 
bewertet wird, dass im Rahmen der Da- 
tenschutz-Folgenabschätzung eine ver- 
tiefte und komplexere Prüfung erfolgen 
muss, als dies bisher vom Recht gefordert 
war. Es irritiert, dass neben den Regelun- 
gen zur Datensicherheit weiterhin ein 
Anwendungsbereich für $ 9 BDSG mit 
seiner Anlage gesehen wird. Berechtigt 
ist die Kritik, dass Hersteller von Verar- 
beitungssystemen nicht bzw. nur ganz 
indirekt in die Regulierung mit einbe- 
zogen wurden. Die Neuorganisation des 
Aufsichtsbereichs und die - komplexen — 
Kooperationsregeln werden im Ergebnis 
positiv kommentiert. 

In einem umfangreichen Kapitel be- 
fassen sich die AutorInnen mit der Frage, 
welche Auswirkungen die DSGVO auf 
besondere Bereiche der Datenverarbei- 
tung haben. Dabei stehen folgende zent- 
rale Anwendungen im Fokus: der öffent- 
liche Bereich, der im nationalen Recht 
weitgehend unverändert bleiben kann, 
der nur allgemein durch die DSGVO 
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vorgegebene Beschäftigtendatenschutz, 
der Sektor von Forschung, Wissenschaft, 
Statistik und Archiven sowie die offenen 
Flanken der DSGVO durch die Medien- 
privilegierung und die Informationsfrei- 
heit. Weitere behandelte Einzelbereiche 
sind die Telekommunikation, die Teleme- 
dien, die Verarbeitung von Gesundheits- 
daten und Berufsgeheimnissen sowie der 
Bereich der sozialen Sicherheit. 

Das Werk entstand innerhalb der vom 
Herausgeber koordinierten Projektgrup- 
pe verfassungsverträgliche Technikge- 
staltung (provet), die sich im Rahmen 
vieler sich mit Datenschutzfragen befas- 
sender Einzelprojekte in spezifischen Be- 
reichen sowohl des öffentlichen wie auch 
des nicht-öffentlichen Datenschutzes mit 
der Geltung der DSGVO befassen muss. 
Auch die parallel verabschiedete Daten- 
schutzrichtlinie für Polizei und Justiz 
wird dargestellt. Zu der Projektgruppe 
gehören neben dem Herausgeber Char- 
lotte Barlag, Christian L. Geminn, Johan- 
na Hofmann, Carolin Hohmann, Domi- 
nik Hoidn, Silke Jandt, Paul C. Johannes, 
Natalie Maier, Kevin Marschall, Maxi 
Nebel, Verena Ossoinig, Fabian Schaller 
und Robert Weinhold. Deren kritische 
Ausführungen zielen nicht darauf ab, 
die Daseinsberechtigung der DSGVO zu 
negieren oder deren Anwendung zu ob- 
struieren, sondern die Finger in Wunden 
zu legen, um die nationale Gesetzgebung, 
die Wissenschaft und perspektivisch die 
Rechtsprechung zur Klärung zu veran- 
lassen. Das Werk kommt in vielen Be- 
reichen zum Ergebnis, dass nationales 
Datenschutzrecht neben der DSGVO an- 
wendbar bleibt. Diese weitherzigen Er- 
gebnisse sind insofern verblüffend, dass 
eingangs beklagt wurde, dass das Harmo- 
nisierungsziel mit der DSVGO verpasst 
worden sei. Hier dürfte der EuGH in zu 
entscheidenden Einzelfällen sicherlich 
anderer Meinung sein. 


Prof. Dr. Gerrit Manssen (Hrsg.), 
Telekommunikations- und Multime- 
diarecht 
Ergänzungslieferung vom September 
2016, ISBN 978-3-503-16991-7, ESV- 
Verlag 


(wh) Im Gesetzestext werden neben 
anderen Änderungen zwar bereits die 
aus Datenschutzsicht wesentlichen Än- 
derungen des TKG durch Art. 2 des „Ge- 
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setzes zur Einführung einer Speicher- 
pflicht und einer Höchstspeicherfrist für 
Verkehrsdaten‘“ (vulgo: Gesetz zur Ein- 
führung der Vorratsdatenspeicherung) 
aufgenommen. In der Kommentierung 
finden sich diese Änderungen allerdings 
noch nicht wieder. Kommentiert werden 
neu die $$ 21, 22 und 25 TKG, ergänzt 
wird die Kommentierung des $ 20 TKG. 
Daher ist diese Ergänzungslieferung für 
die am Datenschutz interessierten Inha- 
berInnen der Loseblattsammlung zwar 
aus Gründen der Vollständigkeit erfor- 
derlich, inhaltlich aber nicht von Belang. 


Dr. Philip Laue, Dr. Judith Nink, 
Sascha Kremer, 

Das neue Datenschutzrecht in der 
betrieblichen Praxis 

ISBN 978-3-8487-2377-5, 1. Auflage 
2016, Nomos, 326 S., 48 € 


(wh) Auch wenn es der Titel nur in- 
direkt widerspiegelt, beim dem Werk 
handelt es sich um ein Praxishandbuch 
zur Anwendung der EU-Datenschutz- 
Grundverordnung (DSGVO). Die Auto- 
rInnen haben mit der Erstellung dieses 
Praxishandbuchs bereits während des 
Gesetzgebungsverfahrens begonnen. 
Der kompakte Umfang (326 Seiten) 
ist u.a. darin begründet, dass es derzeit 
noch keinerlei Erfahrungen mit der Um- 
setzung der Vorschriften in der Praxis 
gibt. So schreiben die AutorInnen selbst 
überraschend offen: „Wo mangels Paral- 
lelen zur bisherigen Rechtslage nicht auf 
gesicherte Erkenntnisse oder Hinweise 
aus dem Gesetzgebungsverfahren zu- 
rückgegriffen werden konnte, bedurfte 
es daher an der einen oder anderen Stel- 
le auch des Blicks in die datenschutz- 
rechtliche Glaskugel.“ In Bezug auf die 
EuGH-Entscheidung zur der Frage, ob 
IP-Adressen personenbezogene Daten 
sind — diese Entscheidung stand beim 
Redaktionsschluss des Werkes im Juli 
2016 noch aus — wurde kein „Blick in 
die Glaskugel gewagt“, sondern nur ein 
entsprechender Hinweis auf dieses Ver- 
fahren gegeben. 

Es werden alle im betrieblichen Da- 
tenschutz relevanten Themengebiete in 
übersichtlich strukturierter Form praxis- 
bezogen behandelt. Dort wo es sinnvoll 
ist, wurden den neuen Rechtsgrundlagen 
die Rechtsgrundlagen aus dem Bundes- 
datenschutz gegenüber gestellt. 


Ein umfangreiches Literaturverzeichnis 
und ein ausführliches Stichwortverzeich- 
nis runden das empfehlenswerte und auch 
preisliche angemessene Werk ab. 


Lanier 


Wem 
gehört die 
„ Zukunft? 


Lanier, Jaron 

Wem gehört die Zukunft ? — Du bist 
nicht der Kunde der Internetkonzer- 
ne. Du bist ihr Produkt 

Hoffmann und Campe, Hamburg 2013, 
ISBN 978 3455550 03180, 480 S. 
(Englisch: Who owns the Future? 
Simon&Schuster, New York 2013) 


Die Computerexperten in Silicon Val- 
ley glauben überwiegend, sie würden 
die Welt in eine phantastische Zukunft 
führen. Lanier glaubt, dass vielmehr die 
Gefahr besteht, dass der Mensch keine 
Rolle mehr spielt. Das Internet ist kein 
Instrument der Freiheit, wie es viele lan- 
ge geglaubt haben. Vielmehr werden die 
Netze und die Kommunikation darin von 
wenigen großen Konzernen kontrolliert 
und gesteuert. 

Er kritisiert die Sirenenserver in An- 
spielung an die lieblichen Sirenen in 
Homers Odyssee, die alle Menschen 
anlocken und dann versklaven. Darun- 
ter fasst er alle Internetanwendungen, 
die in großem Umfang meist kostenlos 
riesige Datenmengen sammeln. Indem 
sie die immer größeren Datenmengen 
(„Big Data“) immer geschickter auswer- 
ten, sind sie in der Lage, die Geschäfte 
immer optimaler zu gestalten und kleine 
Konkurrenten auszuschalten. Gleichzei- 
tig gewinnen sie so immer mehr Macht 
und beginnen zunehmend damit die Nut- 
zer zu manipulieren. Da die Daten/Profi- 
le, die die Nutzer eingegeben haben, an 
den Sirenenserver gebunden sind, ist der 
Nutzer immer mehr gefesselt, da er bei 
der Kündigung des Servers auch seine 
Kontakte verliert. Auch verlagern sich 
wichtige Debatten, Informationskanäle 
usw. in private Plattformen wie Face- 
book. Man kann dann Facebook nicht 
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mehr meiden, ohne sich selbst von den 
Informationen auszuschließen. 

Sirenenserver sind also Facebook, 
Google, Amazon und Apple Store, aber 
auch Versicherungen, Krankenkassen, 
Banken, Geheimdienste (in den USA 
auch die beiden großen Parteien) sowie 
alle anderen Firmen und Einrichtungen, 
die in großem Stil Daten über ihre Kun- 
den bzw. Nutzer sammeln. Die Ökono- 
mie der Netze bevorteilt systematisch 
die Großen gegenüber den Kleinen, da 
sie mehr Daten haben und optimalere 
Verknüpfungen erstellen können. Alle 
Risiken werden ausgelagert durch Er- 
klärungen des Haftungsausschlusses, die 
niemand liest. Ergebnis ist ein „Starsys- 
tem“, wie man es klassischerweise im 
Sport kennt. Für die Masse ist es Hob- 
by, nur sehr wenige verdienen etwas und 
ganz wenige werden reich. Es gibt also 
nicht viele kleine Firmen; sondern bei 
jeder Anwendung bleibt am Schluss von 
vielen Start-Ups nur einer übrig: „The 
Winner takes All“. Alle anderen Milli- 
onen App-Entwickler bleiben auf der 
Strecke. 

Das Ergebnis wird sein, dass die Pro- 
dukte zunehmend kostenlos sind, also 
nichts mehr damit zu verdienen ist. Bei- 
spiel dafür ist heute schon die Musik- 
industrie, wo die meisten Künstler an 
ihren Produkten nichts mehr verdienen 
können, da alles kostenlos im Internet 
kopiert wird. Es bleiben ihnen nur die 
Live-Auftritte. Deswegen ist der Mu- 
sikmarkt weltweit zusammengebrochen. 
Die nächste Berufsgruppe, die durch das 
Internet in ihrer Existenz bedroht ist, sind 
die Journalisten. Das gleiche wird mit 
zahlreichen anderen Märkten geschehen, 
wenn die Systeme, Server und Roboter 
immer besser werden. Am Schluss wird 
die Masse verarmen und die Ökonomie 
wird immer mehr schrumpfen. 

Eine prosperierende Wirtschaft ist nur 
möglich, wenn die Größe der Betriebe 
sich wie eine Glockenkurve verteilt — 
also mit einem wohlhabenden Mittel- 
stand. Im Gegensatz dazu konzentriert 
sich bei der „Starsystem“-Kurve das ge- 
samte Vermögen bei den extrem großen 
Konzernen. Ein Starsystem gefährdet 
auch die Demokratie. Autoritäre Systeme 
wie in China werden selbst zu Sirenser- 
vern, die alle Daten über die Bürger sam- 
meln, auswerten und die Bürger*innen 
manipulieren. In den Demokratien gibt 
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es einen Wettstreit zwischen den Sire- 
nenservern der Wirtschaft und Finanz- 
märkte, die dann die Demokratie durch 
Geld und Manipulation aushebeln. Alter- 
nativ entwickelt sich die Regierung bzw. 
die Parteien ebenfalls zu Sirenenservern, 
die dann aber nur noch Elitenprojekte 
sind. Deswegen kommt Lanier zu dem 
Schluss: „Wenn man die Demokratie er- 
halten will, ... (muss) die Mittelschicht 
zusammengenommen mehr Geld haben 
.. als die Eliten. Die Glockenkurve muss 
die Starprinzip-Kurve übertrumpfen.“ 

Im Alten Kapitalismus gab es viele 
Dämme, die dafür gesorgt haben, dass 
der Mittelstand geschützt wurde und 
die Glockenkurve erhalten blieb: Sozi- 
algesetze, Gewerkschaften, progressive 
Steuern und viele Regulierungen. Die- 
se Dämme sind durch das Internet (und 
die damit sich verbreitende neolibera- 
le Philosophie) immer mehr eingeris- 
sen worden. Auch die Verlagerung von 
Kommunikation auf private Plattformen 
schadet der Demokratie. In dem Maße, 
in dem die Informationen von privaten 
Plattformen ausgewählt, moderiert (bzw. 
manipuliert) werden, wie z. B. heute 
schon bei Google und Facebook, wird 
die politische Meinungsbildung durch 
Privatkonzerne in einer Weise gesteuert, 
die die von Medienkonzernen der „alten 
Welt“ weit übertrifft. 

Wir brauchen daher neue Schutzdäm- 
me. Diese werden nicht von der Wirt- 
schaft geschaffen, sondern es Bedarf Ge- 
setze und Bürgerrechte, die die Souverä- 
nität der Menschen, die Demokratie und 
den Mittelstand schützen. Lanier wendet 
er sich gegen die „‚Kostenlos-Mentalität“. 
Dazu gehören auch Open-Source-Pro- 
dukte wie Wikipedia usw. Auch die Netz- 
piraten (kostenloser Datenaustausch) 
haben dazu beigetragen, dass sich die 
Kostenlos-Mentalität ausgebreitet hat. 
In ihrer Ablehnung jeder staatlichen Re- 
gulierung haben sie den Sirenenservern 
auch noch einen Gefallen getan. 

Er fordert, dass der Mensch nicht An- 
hängsel der Maschine/Informatik ist, 
sondern als etwas Besonderes betrachtet 
wird und dies im System implementiert 
wird. Er fordert eine Humanisierung des 
Internet („Humanistische Informations- 
ökonomie‘), bei der mit der Gleichset- 
zung von Mensch und Maschine aufge- 
hört wird. Entscheidende Neuerung sollte 
sein, dass alle Daten doppelt verknüpft 


sind. Links müssen also immer in beide 
Richtungen weisen, so dass man bei allen 
Dokumenten stets rückverfolgen kann, 
woher die Daten/Informationen stam- 
men. Dies würde es ermöglichen, dass 
Informationen stets einen kleinen Betrag 
kosten, wenn sie genutzt werden. Damit 
würde die Kostenlos-Mentalität beendet. 
Jeder hätte ein Grundrecht auf seine 
Daten. Jede Benutzung — bzw. Verlin- 
kung — müsste vergütet werden. Dies 
könnte vollkommen automatisch im 
Netz stattfinden — also quasi im Netz 
implementiert werden. Benutzer müssen 
wechseln können und ihre Daten und 
Kontakte mitnehmen. Dazu muss jeder 
Mensch im Netz eine eigene Identität 
besitzen. Diese soll entweder vom Staat 
vergeben werden wie ein Personalaus- 
weis, oder der Staat regelt die Vergabe 
durch Gesetze (allgemeine User-ID). In- 
formationen müssen grundsätzlich zwi- 
schen allen Netzen ausgetauscht werden 
können. Das bedeutet, dass Mitteilungen 
z.B. von einem Facebook-Nutzer grund- 
sätzlich an meine Identität also an mich 
— weitergeleitet werden müssen, egal in 
welchem Netz ich mich befinde. Das 
bedeutet, dass alle Systeme offen sein 
müssen. Wenn ich bei Facebook kündi- 
ge, dann bekomme ich alle Kontaktdaten 
ausgehändigt und kann diese weiter nut- 
zen, wenn ich zu einem anderen Provider 
wechsle (Karl-Martin Hentschel, Kiel). 


Monika Kuschewsky (Hrsg.) 

Data Protection & Privacy, 3rd Edition 
Thomson Reuters, London, 2016 

ISBN 9780414057333 

240 GBP/ 440 EUR 


(ks) Bereits die vorhergehende Aus- 
gabe dieses englischsprachigen Werks 
wurde in der DANA 2/2015 bespro- 
chen. Seit damals ist das Werk vermut- 
lich auch in Deutschland etwas bekann- 
ter geworden. Jedenfalls führt es der 
Online-Buchhändler, der fast alles be- 
schafft, inzwischen auch im Sortiment 
— allerdings nur über einen japanischen 
Anbieter vermittelt. Allein der stolze 
Preis, den es für den Erwerb hinzublät- 
tern gilt, verhindert vermutlich weiter- 
hin die flächendeckende Verbreitung 
bei Praktikern, die diesem Werk eigent- 
lich zu wünschen wäre. 

Denn für alle Datenschützer, die 
nicht ausschließlich deutsche Kunden 
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betreuen (und davon gibt es immer we- 
niger), stellt dieses Werk ein äußerst 
komfortables Portal zur Datenschutz- 
Rechtslage in vielen Teilen der Welt 
dar. Nicht unter Mühen und mehr oder 
weniger erfolgreich im Internet nach 
Datenschutzgesetzen aus aller Welt su- 
chen zu müssen, ist das große Verdienst 
von Monika Kuschewsky und ihren 
Ko-Autoren. 

Die dritte Auflage deckt 46 Jurisdikti- 
onen aus sechs Kontinenten ab und gibt 
damit erneut über mehr Länder als die 
Vorauflage Auskunft. Außerdem sind 
wiederum Zusammenfassungen für die 
Regionen Asien-Pazifik und Lateiname- 
rika enthalten. Leider muss man aller- 
dings feststellen, dass den zwölf Neu- 
zugängen (Bulgarien, Kanada, Costa 
Rica, Hong Kong, Ungarn, Luxemburg, 
Marokko, Russland, Serbien, Südafrika, 
Südkorea, Arabische Emirate) vier Län- 
der gegenüberstehen, die in der neuen 
Auflage nicht mehr erscheinen. Dass 
hierzu ausgerechnet Indien gehört, das 
eine ganz besondere Rolle beim Out- 
sourcing vieler großer Unternehmen 
spielt, ist nicht nachvollziehbar. Was 
auch immer zu dieser Entscheidung 
geführt haben mag: Dieser Verzicht ist 
außerordentlich bedauerlich. 

Der Nutzen bezüglich der bearbeite- 
ten Länderjurisdiktionen ist allerdings 
enorm: Nach einem übersichtlichen und 
immer gleichen Schema beschreiben 
die Autoren die jeweilige Datenschutz- 
Rechtsgrundlage, ihren Anwendungs- 
rahmen, die aufsichtsbehördlichen 
Strukturen, wesentliche Verarbeitungs- 
prinzipien (genauer auch in besonders 
relevanten Bereichen wie Beschäftig- 
tendaten, Gesundheitsdaten, Finanzda- 
ten, Telekommunikationsdaten u.a.), 
Informationsrechte und -pflichten, An- 
forderungen an Outsourcing, IT-Sicher- 
heitsanforderungen, Audits, Rahmenbe- 
dingungen für Datenschutzbeauftragte 
und Haftungs- und Sanktionsregeln. 
Dieses Vorgehen erleichtert nicht nur die 
Überblicksgewinnung sondern auch die 
schnelle Vergleichbarkeit von Ländern. 
Aktuelle Aspekte wie Cloud Compu- 
ting, Big Data, Privacy Impact Assess- 
ment und die neue EU-Datenschutzge- 
setzgebung haben ebenfalls Eingang in 
die Betrachtungen gefunden. 

Das Werk stellt damit weiterhin für 
Datenschutzbeauftragte, _TT-Sicherheits- 
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beauftragte, Compliance Officer, Kon- 
zernbetriebsräte und sonstige, mit interna- 
tionalem Datenverkehr befasste Personen- 
gruppen eine in höchstem Maße wertvolle 
Quelle strukturierter Erstinformation dar. 
Ihm wäre zu wünschen, dass einmal auf- 
genommene Länder nicht ohne erkennba- 
ren Grund entfallen und die Länderliste 
kontinuierlich erweitert wird. 

Ein attraktiverer Preis wäre sicherlich 
hilfreich, für die verdienstvolle und of- 
fensichtlich arbeitsintensive Darstel- 
lung eine weit größere Lesergruppe zu 
gewinnen. Dazu sollte auch der Vertrieb 
über den Buchhandel und den Online- 
Buchhandel ermöglicht werden. 


Fabian Siegler 

Die Datenschutz-Lüge 

ISBN 978-3-7345-6963-0, tredition, 
25,99 € 


Christina Körner: Datentracker — Web- 
tracking und Datenschutz im Jahr 2016 


(ck) Ob Cookies, Tags, Web-Bugs, 
Pixel, Fingerprinting oder Web-Beacons 
— durchschnittlich lesen 75 Web-Tech- 
nologien bei einem Webseitenaufruf mit. 
Durch Webtracking werden viele User 
mehr und mehr zum ‚gläsernen Men- 
schen’. Und das ohne ihr Wissen. 

„Mit diesem Buch möchte ich dazu 
beitragen, dass Nutzer für das Thema Da- 
tentracking sensibilisiert werden und ihre 
Surfgewohnheiten überdenken“, sagt 
Fabian Siegler, Marketing-Experte für 
Echtzeit-Personalisierung. Denn Millio- 
nen und Milliarden Nutzerdaten werden 
täglich gesammelt. Nicht nur der Such- 
maschinengigant Google, auch Face- 
book, Amazon & Co. schöpfen die Daten 
der Nutzer ab. Der Autor prangert nicht 
den Datenschutz an, verfasst auch kei- 
nen neuen Enthüllungsreport. Er wird in 
seiner täglichen Praxis mit der digitalen 
Datenerhebung konfrontiert und weiß, 


wovon er redet, wenn er sagt: „Nicht al- 
les, was legal ist, ist auch sinnvoll.“ 

Fabian Siegler plädiert für mehr Auf- 
klärungsarbeit und möchte mit diesem 
Titel dazu beitragen, für mehr Transpa- 
renz beim Webtracking zu sorgen: Zuerst 
werden in dem rund 500 Seiten starken 
Buch die Entwicklungen der Echtzeit- 
Personalisierung und die ständig stei- 
gende Datenflut, die uns täglich umgibt, 
beschrieben. Er möchte neue Einsichten 
schaffen, so dass ‚Otto-Normal-User’ 
sieht, wo ‚unsere’ Daten täglich verar- 
beitet und verwertet werden. „... Es darf 
nicht vergessen werden, dass aufgrund 
der Schnelllebigkeit Kampagnen heute 
immer öfter optimiert werden (müssen). 
Nur durch fortlaufende Anpassungen ist 
es möglich, dem ständigen Wettbewerbs- 
druck und natürlich auch den Interessen 
der Nutzer gerecht zu werden. Ebenfalls 
auf dem Vormarsch ist das sogenannte 
Realtime-Advertising. Letzteres ermög- 
licht das Buchen von Werbeflächen in 
Echtzeit. Da dies im Bereich von Milli- 
sekunden geschieht, ist neben einer guten 
Infrastruktur vor allem eines nötig: Da- 
ten! Aktuelle Daten ...“ (Auszug aus dem 
Buch Datentracking von Fabian Siegler) 

Der Autor schaut über den Tellerrand 
und macht anhand von Beispielen aus der 
Praxis deutlich, inwieweit unsere Daten- 
spuren, die wir unbewusst verursachen, 
sich zu einer Einheit zusammenführen 
lassen. Es zeigt sich, dass dabei Parame- 
ter wie Aufenthaltsort, Tageszeit, Point 
of Interest, Computer-ID und Haushalts- 
daten von entscheidender Bedeutung 
beim Datensammeln sind und beim Web- 
site-Login das Profil und die Identität 
des Users dann gänzlich deckungsgleich 
werden. 

Für den Leser wird nachvollziehbar, 
was das Datensammeln bewirken kann: 
Ob es sich dabei um Ortungsdaten im 
öffentlichen Verkehr handelt — das soge- 
nannte Geo-Targeting — oder die Stand- 
ortfreigabe, der derzeit 67 Prozent der 
Smartphone-User ganz selbstverständ- 
lich zustimmen. Wie der User mit dem 
scheinbar harmlosen Spiel Pokemon Go 
zahlreiche Umgebungsdaten sammelt 
und wer dahinter steckt, so dass die sen- 
siblen Daten problematisch werden kön- 
nen und dass das Spiel in Russland und 
im Iran gar nicht erlaubt ist. Wie abhän- 
gig wir vom Smartphone sind, zeigt das 
Beispiel mit dem spanischen Strand, der 
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nur online gebucht und offline besucht 
werden kann. Auch der Zusammenhang 
von vernetzter Kleidung macht die Vor- 
und Nachteile nachvollziehbar: Die Da- 
ten der Kleidung werden zum Smartpho- 
ne gesendet, um uns vor Sonnenbrand 
zu schützen, aber klar ist auch, dass hier 
noch andere Daten „abgeschöpft“ wer- 
den können. Welche Daten bei Googles 
Übersetzungstool erhoben werden, wa- 
rum die Flugsicherheit an so scheinbar 
banalen Dingen wie der Menüwahl im 
Flugzeug nach USA interessiert ist, oder 
wie wir unsere Körperdaten weitergeben 
und die Krankenkassen davon profitie- 
ren, kann hier nachgelesen werden. 

„... Neben PC und Smartphone sind 
inzwischen auch eine Fülle weiterer 
Geräte mit Kommunikations- und somit 
Tracking-Funktionen ausgestattet. Be- 
kannteste Beispiele sind etwa biometri- 
sche Sensoren für sportliche Aktivitäten, 
Satellitennavigationssysteme, automati- 
sche Mautzahlungssysteme und elektro- 
nische Fahrkarten für den öffentlichen 
Nahverkehr (Internet der Dinge). Auch 
die Kommunikations-, Ortungs-, und 
Datenverarbeitungssysteme in Kraft- 
fahrzeugen werden weiter zunehmen, 
nicht zuletzt aufgrund der derzeit stei- 
genden Nachfrage nach Car-Sharing. 
Durch das Auto (das mit Fremden ge- 
teilt wird) werden wieder einmal Daten 
— persönliche, versteht sich — benötigt. 
Und ja, diese werden nicht nur inner- 
halb der offiziellen Betreiberwebseiten 
bzw. Apps erhoben. Standortdaten sind 
wohl eine der wichtigsten Erkenntnisse, 
immerhin muss in Echtzeit die Warenver- 
fügbarkeit ermittelt werden. Ebenfalls 
nicht zu unterschätzen ist die geplante, 
flächendeckende Verbreitung des soge- 
nannten eCall-Systems. Letzteres sieht 
gemäß einem Vorschlag der Europäi- 
schen Kommission und des Parlaments 
ab dem Jahr 2015 ein Einbau in alle 
neuen Personenkraftwagen vor. Bewe- 
gungsprofile sind stets gefragte Daten. 
Ob PKW, Smartphone oder bei Google 
- Daten werden überall im Hintergrund 
erhoben. Doch das größte Problem ist 
wohl die Fusion sämtlicher Daten. Es 
ist kaum möglich, auch nur ansatzweise 
zu ermitteln, wo welche Daten erhoben 
bzw. tatsächlich verarbeitet werden. Der 
Weiterverkauf von Daten ist ebenfalls 
oftmals an der Tagesordnung. Trotzdem 
entsteht dank der fortschrittlichen Di- 
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gitalisierung erhebliches Potenzial. Ein 
fast abzusehender Nebeneffekt, der mit 
dem beschriebenen eCall-System einher- 
geht, ist die rasante Verbreitung solcher 
Plattformen. Letztere ermöglichen dann 
nicht nur Notrufdienste, sondern auch 
andere, neuartige Mehrwertdienste. 
Eine Möglichkeit sind individuelle Versi- 
cherungsbeiträge, ähnlich wie es gerade 
im Gesundheitswesen erprobt wird. Die 
künftigen Fahrzeugversicherungsbeiträ- 
ge könnten sich dann anhand neuartiger 
Parameter ermitteln lassen, wie etwa die 
Fahrleistung. Natürlich erfolgen derar- 
tige Analysen auch unter Berücksichti- 
gung der gewählten Strecken sowie des 
Verhalten des Fahrers. Beispiele für das 
Fahrerverhalten sind überdurchschnitt- 
lich häufiges Beschleunigen und Brem- 
sen. Auch könnte der Mindestabstand 
zum Vordermann oder das Überfahren 
von roten Ampelanlagen mögliche Pa- 
rameter für ein Nutzerprofil sein. Wenn 
die Systeme tausendfach in Betrieb sind, 
ergeben sich riesige Vergleichsdaten- 
banken. Eben solche, die man bislang 
vorwiegend Google und Co. anlastet ...“ 

Mit diesem Buch wurde für den Leser 
eine Grundlage geschaffen, sich mit den 
möglichen Einsatzgebieten der Website- 
Tracker, deren Risiken aber auch mit de- 
ren Potenzial vertraut zu machen. Dafür 
wurden rund 185 Daten-Tracker detail- 
liert analysiert und beschrieben. 

Auf den Name des Programms und 
des Anbieters folgt die Internetseite des 
Anbieters und der Direktlink zu den 
Datenschutzinfos. Außerdem wird be- 
leuchtet, wie die Daten erhoben werden, 
das PlugIn Ghostery bildete die Grund- 
lage für die Aufzählung der Informati- 
onen. Es folgt die Recherche ob Data 
Sharing betrieben wird und der Daten- 
schutz-Kontakt wird aufgeführt. Es wird 
deutlich, wann die Tracker entstanden 
sind, welche Funktion sie haben und von 
wem sie eingesetzt werden. Sehr inter- 
essant ist Jeweils der Firmensitz, denn er 
entscheidet maßgeblich über die damit 
verbundenen Datenschutzgesetze, de- 
nen sich die Firmen verpflichtet fühlen 
oder wo sie zertifiziert wurden. 

Rund 50 Screenshots von 50 Websei- 
ten zeigen alle zum Zeitpunkt der Über- 
prüfung gefundenen Tracker. Die Web- 
seiten wurden anhand der SEO-Toolbox 
SISTRIX Tool Top 100 ermittelt und die 
Auswahl ist nicht wertend. Sie deckt 


eine breite Palette an Kategorien und 
Themen der Unternehmen ab. Aufjedem 
Screenshot ist rechts im Bild eine „Lila 
Liste“ zu finden. Dort sind eben jene 
Anbieter und Tracker zu finden, die in 
einem Verzeichnis nachgeschlagen wer- 
den können. Außerdem ist eine Kurzbe- 
schreibung jeder überprüften Website 
gemacht worden. Danach hat der Autor 
explizit die Datenschutzbeauftragten der 
einzelnen Webseiten angeschrieben und 
sie zu den auf ihren Webseiten gefunde- 
nen Hintergrundprogrammen befragt. 
Es handelt sich um die immer gleichen 
Fragestellungen. Rund die Hälfte der 
Webseitenbetreiber hat zu den zehn Fra- 
gen keine Stellung bezogen, oder mit 
vorgefertigten Antwort-Mails operiert. 
Es waren nur sehr wenige Unternehmen 
dabei, die sich persönlich und detailliert 
zu den Programmen geäußert haben. 
Aus Datenschutzgründen wurde auf die 
Personen- oder Mitarbeiter-Namensan- 
gabe bei Anfragen-Feedbacks verzich- 
tet. „Ich habe das Gefühl gewonnen, 
dass mir aus Unwissenheit heraus nicht 
geantwortet wurde. Ich vermute, viele — 
oft kleinere — Unternehmen sourcen die 
Gestaltung ihrer Webseite aus. Und die 
jeweilige Agentur, die das Webseiten- 
Projekt dann betreut, lädt Verschiedenes 
drauf, was wiederum die Webseiten- 
betreiber gar nicht erklären können“, 
glaubt der Marketingexperte. 

Welchen Zusammenhang die Tracker 
mit der Ladezeit der einzelnen Websi- 
tes bilden und was das über die Glaub- 
würdigkeit der Unternehmen aussagt, 
wird ebenfalls anhand von Screenshots 
gezeigt. Im letzten Kapitel geht es dem 
Autor darum, dem Nutzer Wege aufzu- 
zeigen, wie er Scripte blockieren und 
wie er seine persönlichen Daten schüt- 
zen kann. Welche Programme Vor- und 
Nachteile für seine persönlichen Be- 
dürfnisse bieten und wie er mit spezi- 
ellen Tools bewusst die Privatsphäre- 
Einstellung steuern kann. Denn bis zum 
Jahr 2017 erwartet Google, dass rund 
37.000 GB pro Sekunde an Daten ver- 
arbeitet werden. Allerhöchste Zeit, sich 
über die Sicherheit und Nutzung der Da- 
ten Gedanken zu machen. 

„Ich denke, dass noch viel Aufklärungs- 
arbeit notwendig ist, und selbst Leute, die 
für die Webseiten zuständig sind, haben 
nur bedingt Ahnung von Webtracking“, 
vermutet der Autor Fabian Siegler. 
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GESAGT: „ABHÖREN VON 
FREUNDEN, DAS GEHT 
GAR NICHT"? 
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ABER NICHT 
HERVOR, DASS 
DIE BEVÖLKERUNG 
DEUTSCHLANDS ZU 
IHREN „FREUNDEN" 
GEHÖRT! 


